CVE-2026-3353 CVSS 4.4 中危

CVE-2026-3353：WordPress插件存储型XSS漏洞

披露日期: 2026-03-21

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-3353

漏洞类型

存储型XSS

CVSS评分

4.4 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

WordPress Comment SPAM Wiper 插件

漏洞概述

WordPress插件Comment SPAM Wiper在1.2.1及之前版本中，由于'API Key'设置缺乏输入清理和输出转义，存在存储型XSS漏洞。拥有管理员权限的攻击者可在多站点或特定配置下注入恶意脚本，影响访问页面的用户。

技术细节

该漏洞位于插件后台设置页面（admin.php）的API Key参数处理逻辑中。由于开发人员未对用户输入的API Key进行严格的输入消毒和输出转义，导致恶意脚本被持久化存储。在WordPress多站点网络环境或禁用了unfiltered_html权限的站点中，具备管理员权限的攻击者可利用此缺陷。攻击者通过修改插件设置，将XSS Payload写入数据库。当其他管理员或用户访问该设置页面时，Payload在客户端浏览器执行，可能导致Cookie窃取或管理员账户被劫持。

攻击链分析

STEP 1

1. 获取访问权

攻击者获取目标WordPress站点的高权限管理员账户凭据。

STEP 2

2. 导航至设置

登录后台，进入Comment SPAM Wiper插件的设置页面。

STEP 3

3. 注入Payload

在'API Key'输入框中输入恶意的JavaScript代码（如XSS Payload）。

STEP 4

4. 存储Payload

点击保存设置，恶意代码因缺乏过滤而被存储在数据库中。

STEP 5

5. 触发漏洞

诱导其他管理员或用户访问该设置页面，触发恶意脚本执行。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!--
PoC for CVE-2026-3353
Prerequisites: Admin access on a Multi-site WP install or where unfiltered_html is disabled.
-->
<script>
  // Payload to be injected into the 'API Key' field
  var payload = '"><script>alert(document.cookie)</script>';
  console.log("Injecting payload: " + payload);
</script>
<!--
Steps:
1. Log in as Administrator.
2. Go to Settings > Comment SPAM Wiper.
3. Paste the payload into the API Key field.
4. Save Settings.
5. Navigate back to the settings page to trigger the XSS.
-->

影响范围

Comment SPAM Wiper <= 1.2.1

防御指南

临时缓解措施

建议暂时禁用Comment SPAM Wiper插件，以防止漏洞被利用。同时，应审查现有管理员账户的权限，确保未受信任人员无法访问插件设置页面。对于无法立即升级的环境，可考虑通过WAF规则拦截针对该设置页面的恶意请求。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表