CVE-2026-32403CVE-2026-32403是WordPress插件Toocheke Companion中的一个DOM型跨站脚本(XSS)漏洞。该漏洞由于插件在Web页面生成过程中未能正确对用户输入进行中和处理,导致攻击者可以在受害者浏览器中执行任意JavaScript代码。攻击者通过诱骗低权限用户访问恶意构造的链接,利用DOM型XSS漏洞窃取用户的会话Cookie、劫持用户账户或进行钓鱼攻击。由于该漏洞需要用户交互且影响范围为低权限用户,因此CVSS评分为6.5,属于中危漏洞。Toocheke Companion插件用于为WordPress网站提供额外的配套功能,版本1.194及之前的所有版本均受影响。
DOM型XSS是一种特殊的跨站脚本漏洞,其特点是不依赖于服务器端的反射,而是完全在客户端浏览器中通过JavaScript处理用户输入时触发。攻击者通过在URL参数或页面输入中注入恶意JavaScript代码,这些代码被插件的JavaScript脚本错误地解析和执行。具体来说,当插件的JavaScript代码从DOM中读取数据(如window.location、document.URL等)并直接将其插入到页面HTML中而未进行适当的输出编码时,就会触发此漏洞。受害者点击攻击者构造的恶意链接后,恶意脚本会在其浏览器上下文中执行,可访问该页面下的所有Cookie(除HttpOnly标记的)、执行任意DOM操作或发起进一步的攻击请求。由于DOM型XSS完全在客户端执行,传统的服务器端WAF无法有效检测此类攻击。