CVE-2026-3354 CVSS 4.4 中危

CVE-2026-3354 WordPress Wikilookup插件存储型XSS漏洞

披露日期: 2026-03-21

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-3354

漏洞类型

存储型跨站脚本攻击 (Stored XSS)

CVSS评分

4.4 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

WordPress Wikilookup插件

漏洞概述

WordPress Wikilookup插件1.1.5及之前版本存在存储型XSS漏洞。因“弹出窗口宽度”设置缺乏足够的输入清理和输出转义，具有管理员权限的认证攻击者可注入恶意脚本。该脚本在用户访问注入页面时执行，主要影响多站点安装或已禁用unfiltered_html功能的WordPress环境。

技术细节

该漏洞源于Wikilookup插件后台设置页面中的“Popup Width”参数未对用户输入进行严格的安全过滤和输出转义。攻击者需具备管理员或更高权限才能访问插件设置页面。在受影响的多站点WordPress安装或禁用了unfiltered_html权限的单站点环境中，攻击者可在该字段注入JavaScript代码。由于是存储型XSS，恶意脚本会被持久化存储在数据库中。当其他用户访问包含该设置的页面时，浏览器将解析并执行恶意脚本，可能导致窃取Cookie、会话劫持或恶意重定向等后果。此漏洞利用了WordPress在特定配置下对HTML内容的限制机制。

攻击链分析

STEP 1

步骤1

攻击者获取WordPress站点管理员级别的账户凭证。

STEP 2

步骤2

攻击者登录后台，导航至Wikilookup插件设置页面。

STEP 3

步骤3

攻击者在“Popup Width”设置字段中注入恶意JavaScript代码并保存。

STEP 4

步骤4

恶意Payload被存储在数据库中且未经过滤。

STEP 5

步骤5

当普通用户或其他管理员访问包含该设置的页面时，恶意脚本在浏览器中执行。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// PoC Concept for CVE-2026-3354
// Payload to be injected into the 'Popup Width' setting
// This script executes when the settings page is viewed by another user
const payload = '500"><script>alert(document.cookie);</script><input type="hidden" value="';

/*
 * Simulated HTTP Request:
 * Attacker sends POST request to update plugin settings.
 * Requires Administrator session cookie.
 *
POST /wp-admin/options.php HTTP/1.1
Host: target.com
Content-Type: application/x-www-form-urlencoded

option_page=wikilookup_options&action=update&_wpnonce=...&wikilookup_popup_width=500"><script>alert(1)</script>
*/

影响范围

WordPress Wikilookup Plugin <= 1.1.5

防御指南

临时缓解措施

如果暂时无法升级插件，建议立即禁用Wikilookup插件以消除风险。同时，应加强后台管理员的身份验证机制（如启用双因素认证），防止未授权的高权限账号被利用来部署此攻击。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表