CVE-2026-3350 CVSS 6.4 中危

CVE-2026-3350 WordPress Image Alt Text Manager 存储型XSS漏洞

披露日期: 2026-03-21

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-3350

漏洞类型

存储型跨站脚本 (Stored XSS)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress Image Alt Text Manager Plugin

漏洞概述

WordPress的Image Alt Text Manager插件在1.8.2及以下版本中存在存储型跨站脚本（XSS）漏洞。由于在动态生成图片alt和title属性时，对文章标题的输入清理和输出转义不足，导致具有作者及以上权限的认证攻击者可以注入恶意脚本。当用户访问被注入的页面时，脚本将被执行。

技术细节

该漏洞的核心在于WordPress插件“Image Alt Text Manager”在处理文章标题时的安全缺陷。插件使用DOM解析器动态生成图片的`alt`和`title`属性，但在这一过程中，未对来自用户输入的文章标题实施严格的输入清洗和输出转义。具体而言，攻击者首先需要获得至少“作者”级别的账户权限。随后，在创建或编辑文章时，攻击者可以在标题栏中插入恶意的HTML或JavaScript代码（如`<script>`标签或事件处理器）。当插件自动处理这些数据并生成前端页面的图像属性时，恶意代码会被持久化存储在数据库中。一旦普通用户或管理员访问了包含该图像的页面，浏览器便会解析并执行这段恶意脚本，从而触发存储型XSS攻击。此漏洞可被用于窃取敏感认证信息（如Cookie）、执行未授权操作，甚至结合其他漏洞进一步接管服务器权限。

攻击链分析

STEP 1

步骤1

攻击者获取一个具有“作者”或更高权限的WordPress账户。

STEP 2

步骤2

攻击者登录后台，创建新文章或编辑现有文章。

STEP 3

步骤3

攻击者在文章标题字段中注入恶意JavaScript代码（Payload）。

STEP 4

步骤4

插件处理文章标题以动态生成图片的alt和title属性，恶意代码被存储到数据库中。

STEP 5

步骤5

受害者（如管理员或访客）浏览包含该图片的页面。

STEP 6

步骤6

受害者的浏览器解析并执行恶意脚本，导致XSS攻击成功。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- 
PoC for CVE-2026-3350
Context: Stored XSS in Post Title field
Requirement: Author role or higher
-->

// Step 1: Create a new post
// Step 2: Insert the following payload into the 'Post Title' field
"><script>alert('CVE-2026-3350 XSS');</script>

// Step 3: Publish the post
// Step 4: Access the post page or any page rendering the image alt text
// The malicious script will execute in the context of the victim's browser.

影响范围

Image Alt Text Manager <= 1.8.2

防御指南

临时缓解措施

建议立即升级插件至修复版本。若无法升级，应暂时禁用Image Alt Text Manager插件，并严格限制用户发布内容的权限，仅允许受信任的用户发布文章。管理员还应检查现有的文章标题中是否包含异常的脚本代码。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表