平台
wordpress
组件
token-of-trust
修复版本
3.32.4
3.32.4
CVE-2026-2834 是 WordPress Age Verification & Identity Verification by Token of Trust 插件中的一个存储型跨站脚本 (XSS) 漏洞。攻击者可以通过在 'description' 参数中注入恶意脚本,并在用户访问相关页面时执行这些脚本。该漏洞影响 Token of Trust 插件 0.0.0 到 3.32.3 版本,已于 3.32.4 版本修复。
WordPress插件“Age Verification & Identity Verification by Token of Trust”存在存储型跨站脚本攻击(Stored XSS)漏洞。该漏洞被标记为CVE-2026-2834,允许未经身份验证的攻击者通过“description”参数注入恶意Web脚本。一旦注入,该脚本将在用户访问受影响页面时执行。这构成重大风险,攻击者可能窃取会话Cookie、将用户重定向到恶意网站,甚至可能控制WordPress帐户。CVSS严重程度评分为7.2,表明高风险。及时更新插件对于缓解此风险至关重要。
攻击者可以通过将恶意JavaScript代码注入到插件的“description”字段中来利用此漏洞。此代码可以通过WordPress管理表单或任何允许将数据输入到此字段的其它接口注入。一旦注入,该脚本将存储在数据库中,并在用户访问显示描述的页面时执行。利用成功取决于网站的配置和已实施的安全措施。缺乏用户输入清理是此漏洞的主要原因。
漏洞利用状态
EPSS
0.08% (24% 百分位)
CISA SSVC
CVSS 向量
推荐的解决方案是将“Age Verification & Identity Verification by Token of Trust”插件更新到3.32.4或更高版本。此更新包含必要的修复程序,以正确地清理用户输入并转义输出,从而防止恶意脚本注入。强烈建议尽快应用此更新,尤其是在您的网站处理敏感信息或拥有大量流量的情况下。定期检查您的WordPress插件和主题是否存在安全漏洞也同样重要。实施强大的密码策略并启用双因素身份验证可以进一步增强您网站的安全性。
更新到版本3.32.4或更高版本。
漏洞分析和关键警报直接发送到您的邮箱。
这是一种允许攻击者将恶意代码注入到网站中的漏洞,该代码将在其他用户访问受影响页面时在其浏览器中执行。
如果您使用的是3.32.4之前的插件版本,则很可能受到影响。立即更新。
更改所有密码,检查网站文件是否存在恶意代码,并考虑咨询安全专家。
是的,使用强密码,启用双因素身份验证,并保持软件更新。
您可以在CVE(通用漏洞披露)数据库中以CVE-2026-2834的ID找到更多信息。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。