CVE-2026-32544OOPSpam Anti-Spam WordPress插件中存在严重的存储型跨站脚本(XSS)漏洞。该漏洞由于未对网页生成过程中的用户输入进行适当的中性化处理导致。攻击者无需认证即可利用此漏洞,在受影响版本(<= 1.2.62)中注入恶意JavaScript代码。当管理员或其他用户访问包含恶意数据的页面时,脚本将在其浏览器中执行,进而窃取敏感信息或接管账户权限。
该漏洞的根源在于OOPSpam Anti-Spam插件未能正确遵循Web安全的输入验证原则。具体而言,在处理特定数据输入点(如垃圾邮件检测日志或用户提交的内容)时,应用程序直接将未经过滤的用户可控数据嵌入到了HTML响应中。攻击者可以利用这一缺陷,精心构造包含恶意JavaScript代码的Payload。由于是存储型XSS(Stored XSS),这些Payload一旦提交,便会被持久化存储在服务器的数据库中。当具有高权限的管理员登录后台并查看这些被污染的数据记录时,恶意脚本会在其浏览器上下文中执行。结合CVSS向量中的PR:N(无需认证)和S:C(作用域改变),攻击者不仅能窃取管理员的Cookie和Session信息,还能利用管理员的权限进一步控制WordPress站点,例如上传Webshell或篡改页面内容,造成严重的安全后果。