CVE-2026-32356CVE-2026-32356是WordPress插件Robo Gallery中的一个DOM型跨站脚本(XSS)漏洞。该漏洞由于在Web页面生成过程中对用户输入的不当中和处理导致,攻击者可以通过在受影响页面中注入恶意JavaScript代码来执行DOM操作。CVSS 3.1评分为6.5,属于中等严重程度。该漏洞需要认证后的低权限用户进行攻击,且需要用户交互才能触发。攻击成功后,攻击者可以窃取用户会话Cookie、劫持用户账户、进行钓鱼攻击或传播恶意内容。由于是DOM型XSS,恶意脚本不会经过服务器端过滤,而是直接在客户端通过JavaScript解析时执行,使得传统WAF防护难以检测。
DOM型XSS漏洞发生在客户端代码(JavaScript)直接处理用户输入并动态修改DOM时,未进行适当的安全过滤。在Robo Gallery插件中,攻击者可以通过构造特定的URL参数或输入内容,使得插件的JavaScript代码将这些内容直接写入页面DOM而不进行转义处理。攻击者利用此漏洞注入恶意<script>标签或事件处理器(如onerror、onload等),当其他用户访问包含恶意代码的页面时,浏览器会执行这些脚本。由于攻击载荷存储在客户端(URL参数或输入字段),服务器日志可能无法记录完整的攻击痕迹,增加了检测难度。攻击者通常需要诱导用户点击特定链接或提交特定表单来触发漏洞。