平台
wordpress
组件
prismatic
修复版本
3.7.4
3.7.4
CVE-2026-3876 描述了 Prismatic WordPress 插件中的存储型跨站脚本攻击 (XSS) 漏洞。攻击者可以通过提交包含恶意 'prismatic_encoded' 伪短代码的评论来注入恶意脚本,并在用户访问注入页面时执行。该漏洞影响所有小于等于 3.7.3 的 Prismatic 插件版本。已发布安全补丁,建议用户尽快升级至 3.7.4 版本。
该 XSS 漏洞允许未经身份验证的攻击者在 WordPress 网站的页面上注入并执行任意 JavaScript 代码。攻击者可以利用此漏洞窃取用户会话 Cookie,执行恶意操作,或重定向用户到恶意网站。攻击的影响范围取决于网站的访问量和用户权限。如果网站包含敏感信息或用户账户,该漏洞可能导致严重的数据泄露和安全风险。由于漏洞利用相对简单,且无需身份验证,因此存在被大规模利用的风险。
该漏洞已公开披露,且存在公开的利用代码。目前尚未观察到大规模的利用活动,但由于漏洞利用相对简单,存在被攻击者利用的风险。建议密切关注安全社区的动态,并及时采取缓解措施。该漏洞已添加到 CISA KEV 目录中,表明其具有较高的安全风险。
Websites using the Prismatic WordPress plugin, especially those with public comment sections or forums, are at risk. Shared hosting environments where multiple WordPress sites share the same server resources are particularly vulnerable, as a compromise on one site could potentially impact others.
• wordpress / composer / npm:
grep -r 'prismatic_encoded' /var/www/html/wp-content/plugins/prismatic/• wordpress / composer / npm:
wp plugin list | grep prismatic• wordpress / composer / npm:
wp plugin update prismatic• generic web: Inspect comment fields for suspicious shortcode usage, particularly those containing encoded characters.
disclosure
漏洞利用状态
EPSS
0.02% (6% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 Prismatic WordPress 插件升级至 3.7.4 或更高版本。如果无法立即升级,可以考虑禁用 Prismatic 插件,或限制 'prismaticencoded' 伪短代码的使用。此外,可以实施 Web 应用防火墙 (WAF) 规则,以检测和阻止包含恶意 'prismaticencoded' 伪短代码的请求。定期审查 WordPress 插件的安全更新,并及时应用补丁,以降低潜在的安全风险。
更新到 3.7.4 版本,或更新的已修复版本
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-3876 是 Prismatic WordPress 插件中发现的存储型跨站脚本攻击 (XSS) 漏洞,攻击者可以通过提交恶意评论来注入脚本。
如果您正在使用 Prismatic WordPress 插件,并且版本小于等于 3.7.3,则您可能受到此漏洞的影响。
升级 Prismatic WordPress 插件至 3.7.4 或更高版本以修复此漏洞。
虽然目前尚未观察到大规模的利用活动,但由于漏洞利用相对简单,存在被攻击者利用的风险。
请访问 Prismatic WordPress 插件的官方网站或 GitHub 仓库,查找有关 CVE-2026-3876 的安全公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。