HIGHCVE-2026-3643CVSS 7.2

Accessibly <= 3.0.3 - 通过 REST API 的 Widget Source 注入，未授权的存储型跨站脚本 (Stored Cross-Site Scripting)

Q: 什么是 CVE-2026-3643 — XSS 在 Accessibly WordPress 插件中？

CVE-2026-3643 是 Accessibly WordPress 插件中发现的存储型跨站脚本攻击 (XSS) 漏洞，允许攻击者在未经身份验证的情况下执行恶意脚本。

Q: 我是否受到 CVE-2026-3643 在 Accessibly WordPress 插件中的影响？

如果您正在使用 Accessibly 插件的版本小于或等于 3.0.3，那么您就受到此漏洞的影响。

Q: 我如何修复 CVE-2026-3643 在 Accessibly WordPress 插件中？

立即将 Accessibly 插件升级到最新版本以修复此漏洞。

Q: CVE-2026-3643 是否正在被积极利用？

虽然目前尚未观察到大规模的利用活动，但由于漏洞的公开性，存在被利用的风险。

Q: 在哪里可以找到 Accessibly 官方关于 CVE-2026-3643 的公告？

请访问 Accessibly 插件的官方网站或 WordPress 插件目录，以获取有关此漏洞的官方公告。

平台

wordpress

组件

otm-accessibly

修复版本

3.0.4

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-3643 描述了 WordPress 插件 Accessibly 在其 REST API 中存在的存储型跨站脚本攻击 (XSS) 漏洞。该漏洞允许攻击者在未经身份验证的情况下执行恶意脚本，可能导致敏感信息泄露或会话劫持。此漏洞影响 Accessibly 插件的所有版本，包括 3.0.3 及更早版本。建议用户尽快升级到最新版本以缓解风险。

影响与攻击场景

该 XSS 漏洞利用 REST API 接口 /otm-ac/v1/update-widget-options 和 /otm-ac/v1/update-app-config，这些接口由于 permissioncallback 设置为 returntrue，导致没有进行任何身份验证或授权检查。攻击者可以通过构造恶意的 JSON 数据，利用 updateWidgetOptions() 函数将其传递到 AccessiblyOptions::updateAppConfig()，最终通过 update_option() 函数将其保存到 WordPress 选项表中。成功利用此漏洞，攻击者可以在受害者浏览相关页面时执行任意 JavaScript 代码，窃取 Cookie、重定向用户到恶意网站或篡改页面内容。

利用背景

目前，该漏洞已公开披露，且存在公开的利用代码。由于漏洞的易利用性，以及 WordPress 插件的广泛使用，该漏洞可能成为攻击者的目标。建议密切关注 CISA KEV 目录，以获取有关此漏洞的最新信息。目前尚未观察到大规模的利用活动，但由于漏洞的公开性，存在被利用的风险。

哪些人处于风险中翻译中…

Websites using the Accessibly plugin, particularly those running WordPress versions where the plugin is actively used and not regularly updated, are at risk. Shared hosting environments where plugin updates are managed by the hosting provider are also at increased risk if users haven't manually updated the plugin.

检测步骤翻译中…

• wordpress / composer / npm:

grep -r 'otm-ac/v1/update-widget-options' /var/www/html/wp-content/plugins/accessibly/

• wordpress / composer / npm:

grep -r 'otm-ac/v1/update-app-config' /var/www/html/wp-content/plugins/accessibly/

• wordpress / composer / npm:

wp plugin list --status=active | grep accessibly

• wordpress / composer / npm:

wp plugin update accessibly --all

攻击时间线

2026-04-14Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.09% (26% 百分位)

CISA SSVC

利用情况none

可自动化yes

技术影响partial

受影响的软件

组件otm-accessibly

供应商wordfence

影响范围修复版本

0.0.0 – 3.0.33.0.4

3.0.33.0.4

弱点分类 (CWE)

CWE-79

时间线

已保留2026-03-06
发布日期2026-04-14
修改日期2026-04-15
EPSS 更新日期2026-04-22

未修复 — 披露已40天

缓解措施和替代方案

最有效的缓解措施是立即将 Accessibly 插件升级到最新版本，该版本修复了此漏洞。如果无法立即升级，可以考虑以下临时缓解措施：首先，禁用受影响的 REST API 端点 /otm-ac/v1/update-widget-options 和 /otm-ac/v1/update-app-config。其次，使用 Web 应用防火墙 (WAF) 规则来过滤这些 API 接口的请求，阻止包含恶意脚本的输入。最后，定期审查 WordPress 插件的配置，确保其安全性。

修复方法

没有已知的补丁可用。请深入审查漏洞的详细信息，并根据您组织的风险承受能力采取缓解措施。最好卸载受影响的软件并寻找替代方案。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2026-3643 — XSS 在 Accessibly WordPress 插件中？

CVE-2026-3643 是 Accessibly WordPress 插件中发现的存储型跨站脚本攻击 (XSS) 漏洞，允许攻击者在未经身份验证的情况下执行恶意脚本。

我是否受到 CVE-2026-3643 在 Accessibly WordPress 插件中的影响？

如果您正在使用 Accessibly 插件的版本小于或等于 3.0.3，那么您就受到此漏洞的影响。

我如何修复 CVE-2026-3643 在 Accessibly WordPress 插件中？

立即将 Accessibly 插件升级到最新版本以修复此漏洞。

CVE-2026-3643 是否正在被积极利用？

虽然目前尚未观察到大规模的利用活动，但由于漏洞的公开性，存在被利用的风险。

在哪里可以找到 Accessibly 官方关于 CVE-2026-3643 的公告？

请访问 Accessibly 插件的官方网站或 WordPress 插件目录，以获取有关此漏洞的官方公告。

Accessibly <= 3.0.3 - 通过 REST API 的 Widget Source 注入，未授权的存储型跨站脚本 (Stored Cross-Site Scripting)

影响与攻击场景

利用背景

哪些人处于风险中翻译中…

检测步骤翻译中…

攻击时间线

威胁情报

受影响的软件

弱点分类 (CWE)

时间线

缓解措施和替代方案

修复方法

CVE 安全通讯

常见问题

什么是 CVE-2026-3643 — XSS 在 Accessibly WordPress 插件中？

我是否受到 CVE-2026-3643 在 Accessibly WordPress 插件中的影响？

我如何修复 CVE-2026-3643 在 Accessibly WordPress 插件中？

CVE-2026-3643 是否正在被积极利用？

在哪里可以找到 Accessibly 官方关于 CVE-2026-3643 的公告？

软件包信息

你的项目受影响吗?

检测此 CVE 是否影响你的项目