CVE-2026-3604WordPress 插件 WP SEO Structured Data Schema 在 2.8.1 及之前的所有版本中存在存储型跨站脚本(XSS)漏洞。该漏洞源于插件未能对 `_kcseo_ative_tab` 参数进行充分的输入清理和输出转义。具有 Contributor(投稿者)级别及以上权限的经过身份验证的攻击者可以利用此漏洞,在受影响的页面中注入任意 Web 脚本。一旦管理员或其他用户访问了被注入的页面,恶意脚本将在其浏览器中执行,从而导致潜在的账户劫持、恶意重定向或敏感信息窃取。
该漏洞的核心在于 WP SEO Structured Data Schema 插件处理用户输入时的安全机制缺失。具体来说,插件在处理 `_kcseo_ative_tab` 参数时,未对该参数传递的数据进行严格的输入验证和消毒,也未在输出到 HTML 页面时进行适当的上下文感知转义。攻击者利用此漏洞,首先需要获取一个具有 Contributor 或更高级别权限的 WordPress 账户。随后,攻击者可以构造包含恶意 JavaScript 代码的 payload,并将其赋值给 `_kcseo_ative_tab` 参数发送给服务器。由于缺乏输出转义,这段恶意代码会被存储在服务器的数据库中(通常存储在文章元数据或插件配置中)。当其他用户(特别是管理员)访问包含该受污染数据的页面时,服务器会直接将未经过滤的恶意脚本返回给浏览器。浏览器将其解析为可执行代码,从而在受害者的上下文中运行。这种存储型 XSS 攻击具有持久性,攻击者无需诱骗用户点击特定链接,只需等待用户访问受感染的页面即可触发攻击。