Press3D (≤ 1.0.2) — 認證作者儲存的 XSS (CVE-2026-1985)：WordPress 網站擁有者現在必須做的事情

日期： 2026 年 2 月 13 日
嚴重性： 低 (CVSS 5.9) — 但當被擁有作者+權限的用戶濫用時可採取行動
CVE： CVE-2026-1985
易受攻擊的版本： Press3D ≤ 1.0.2

作為一名專注於 WordPress 操作安全的香港安全專家，本建議說明了 Press3D 插件 (≤ 1.0.2) 中的認證儲存跨站腳本 (XSS)。它涵蓋了操作風險、現實的利用場景、檢測、您現在可以應用的立即緩解步驟、示例 WAF 規則模式、WP-CLI 搜索和修復命令，以及在等待官方插件修復時可以部署的短期 PHP 清理器。.

執行摘要 (TL;DR)

• Press3D 插件 (≤ 1.0.2) 在其 3D 模型區塊中通過鏈接 URL 參數包含一個儲存的 XSS 漏洞。擁有作者能力（或更高）的認證用戶可以儲存一個有效載荷，該有效載荷會在訪問者或編輯者的瀏覽器中呈現和執行。.
• 此缺陷需要認證的作者（或更高），因此它不是未經認證的遠程 RCE。然而，對於多作者網站、接受外部貢獻者的網站，或當作者帳戶被攻擊時，這仍然是重要的。.
• 立即緩解措施：限制作者權限，對區塊鏈接 URL 中的 javascript: 和 data: 協議應用虛擬修補（WAF）以阻止/中和，搜索和清理儲存的內容，並強制執行 CSP 和安全標頭以提高利用成本。.
• 長期：在發布修補程序時更新插件，限制誰可以插入/使用區塊，並加強作者工作流程。.

漏洞的簡單說明

Press3D 區塊接受一個“鏈接”配置（URL），該插件在呈現之前未能充分驗證或轉義。擁有作者（或更高）權限的認證用戶可以保存一個精心製作的值 — 例如一個 javascript: URI 或一個注入事件處理程序的屬性 — 這會儲存在帖子內容中。當查看該帖子時，有效載荷可以在訪問者的瀏覽器中執行 JavaScript，產生經典的儲存 XSS。.

為什麼這很重要：

• 作者通常用於客座貢獻者、承包商或外部作家。.
• 嵌入區塊中的儲存 XSS 可能影響任何查看受影響帖子/頁面的訪問者或編輯者。.
• 可能的攻擊者結果：會話盜竊、針對性網絡釣魚、傳遞隨機下載的惡意軟件加載器，或在認證用戶的上下文中執行特權操作（如果受害者是管理員/編輯）。.

實際風險評估

• 利用複雜性： 需要作者或更高的權限。許多網站自由地分配作者；被攻擊的作者帳戶很常見。.
• 用戶互動： 低 — 訪問者只需查看該頁面。.
• 影響： 低於未經認證的 RCE，但 XSS 仍然可以升級為內容妥協、憑證盜竊或持久性機制。.
• 建議優先級： 對於多作者/社區網站設置高權限；對於單一作者網站設置中等權限。.

立即行動（在接下來的60-120分鐘內該做什麼）

1. 暫時限制作者的能力
   • 將不受信任的作者帳戶轉換為訂閱者，直到驗證為安全。.
   • 要求編輯/作者使用強密碼和雙重身份驗證。.
   • 對於有可疑活動的帳戶重置密碼。.
2. 禁用3D模型區塊
   • 在區塊編輯器中阻止使用Press3D區塊，或如果不需要則移除插件。.
   • 如果無法移除插件，限制誰可以插入該區塊（區塊管理插件或角色限制）。.
3. 應用WAF / 虛擬補丁
   • 實施規則以阻止或中和包含 javascript:, 數據： 或其他可執行方案的鏈接屬性（包括編碼變體）。.
   • 阻止內聯事件處理程序（例如. onerror=, onclick=）和像 %6a%61%76%61%73%63%72%69%70%74:.
4. 搜索並隔離受影響的帖子
   • 使用WP-CLI或數據庫查詢定位Press3D區塊數據和可疑鏈接值。.
   • 隔離、取消發布或恢復符合可疑模式的帖子。.
5. 掃描和監控。
   • 執行惡意軟件掃描並檢查登錄/編輯日誌。.
   • 為低信任用戶創建的新帖子或包含 press3d 的帖子添加警報。 阻止數據。.
6. 溝通
   • 通知內容團隊，並要求對新內容進行審查，直到修復完成。.

具體檢測和搜索技術

Press3D 區塊通常存儲在 文章內容 作為區塊標記或在 文章元資料 作為 JSON。搜索出現和危險的 URL 協議。.

常見搜索方法（在受信任的管理/測試環境中使用）：

# Find posts containing press3d blocks
wp db query "SELECT ID, post_title FROM wp_posts WHERE post_content LIKE '%press3d%' OR post_content LIKE '%3d-model%';"

# Find posts where post_content contains javascript: or event handlers
wp db query "SELECT ID, post_title FROM wp_posts WHERE post_content LIKE '%javascript:%' OR post_content LIKE '%data:%' OR post_content LIKE '%onerror=%' OR post_content LIKE '%onclick=%';"

# Export all post_content and grep locally
wp post list --format=csv --fields=ID,post_title > posts.csv
wp post get <postID> --field=post_content | grep -i 'javascript:' -n

# Search postmeta (if block data saved in meta)
wp db query "SELECT post_id, meta_key FROM wp_postmeta WHERE meta_value LIKE '%press3d%' OR meta_value LIKE '%3d-model%' OR meta_value LIKE '%javascript:%';"

如果發現可疑帖子：將其下線（設置為草稿/私有）或恢復到安全版本。.

示例 WP-CLI 修復（快速腳本）

此示例將帖子標記為私有，如果其內容包含 javascript:. 。首先運行乾運行並在測試環境中測試。.

# 將不安全的帖子標記為私有（首先進行乾運行）

您可以在插件更新發布之前使用的 PHP 清理鉤子

作為必須使用的插件或小型網站插件進行部署。這種命名函數的方法在保存帖子時移除 Press3D 區塊屬性中發現的危險 URI 協議。在測試環境中測試並在使用前備份。.

<?php
/**
 * mu-plugin: sanitize press3d link URL scheme on save
 */

function hk_sanitize_press3d_links_on_save( $post_id, $post, $update ) {
    // Skip autosaves, revisions
    if ( wp_is_post_autosave( $post_id ) || wp_is_post_revision( $post_id ) ) {
        return;
    }

    // Only sanitize common post types
    if ( ! in_array( $post->post_type, array( 'post', 'page' ), true ) ) {
        return;
    }

    $content = $post->post_content;
    if ( strpos( $content, 'press3d' ) === false && strpos( $content, '3d-model' ) === false ) {
        return;
    }

    // Remove dangerous URI schemes (javascript:, data:, vbscript:)
    $sanitized = preg_replace_callback(
        '#(link["\']?\s*[:=]\s*["\'])([^"\']*)(["\'])#i',
        function ( $m ) {
            $url = $m[2];
            $decoded = rawurldecode( $url );
            $scheme = strtolower( parse_url( $decoded, PHP_URL_SCHEME ) );
            if ( in_array( $scheme, array( 'javascript', 'data', 'vbscript' ), true ) ) {
                return $m[1] . '' . $m[3]; // remove the URL portion
            }
            if ( preg_match('#^\s*(?:%6a%61%76%61%73%63%72%69%70%74|javascript):#i', $url) ) {
                return $m[1] . '' . $m[3];
            }
            return $m[0];
        },
        $content
    );

    if ( $sanitized !== $content ) {
        // Remove action to prevent recursion during update
        remove_action( 'save_post', 'hk_sanitize_press3d_links_on_save', 10, 3 );
        wp_update_post( array(
            'ID'           => $post_id,
            'post_content' => $sanitized,
        ) );
        add_action( 'save_post', 'hk_sanitize_press3d_links_on_save', 10, 3 );
    }
}
add_action( 'save_post', 'hk_sanitize_press3d_links_on_save', 10, 3 );
?>

注意：這是一種臨時緩解措施，不能替代上游供應商的補丁。進行廣泛測試並保留備份。.

WAF / 虛擬修補規則（推薦模式）

如果您無法立即刪除插件，虛擬修補可以在它們到達網站代碼之前阻止利用嘗試。以下是可以調整到您的 WAF 引擎的概念規則。.

• 規則 1 — 阻止鏈接字段中的 javascript 協議
  觸發：請求主體包含 press3d 的帖子添加警報。 並包含 javascript: 或百分比編碼的等價物。.
  行動：阻擋 (403)、記錄和警報。.

  if (request_body =~ /press3d/i && request_body =~ /(?:javascript:|%6a%61%76%61%73%63%72%69%70%74:)/i) then block

• 規則 2 — 中和事件處理程序屬性

  如果 (request_body =~ /\bon(?:click|error|load|submit|mouseover|mouseenter|onerror)\s*=/i) 則阻擋或清理

• 規則 3 — 拒絕數據：鏈接值中的 URI

  如果 (request_body =~ /(?:data:).*?(?:text/html|image/svg\+xml|application/javascript)/i) 則阻擋

• 規則 4 — 僅檢測編碼混淆

  if (request_body =~ /(%3Cscript%3E|%3Cimg%20onerror%3D|%3Csvg%20onload%3D)/i) then alert_and_log

• 規則 5 — 對 REST 保存端點應用嚴格規則
  對 wp/v2/posts 和 REST 端點進行更嚴格的檢查。如果有效負載包含 press3d 的帖子添加警報。 + javascript:, ，則拒絕，除非請求來自已知的管理 IP 或白名單來源。.

根據您的 WAF 語法調整上述模式。目標是攔截請求中創建或更新帖子/頁面的危險方案和事件屬性。.

內容安全政策 (CSP) 和瀏覽器加固

強大的 CSP 即使在存在存儲的有效負載時也能減少 XSS 影響。.

示例 CSP 標頭（根據您的資產進行調整）：

Content-Security-Policy: default-src 'self'; script-src 'self' https://trusted.cdn.example.com; object-src 'none'; base-uri 'self'; frame-ancestors 'none'; report-uri /csp-report-endpoint;

• 避免 unsafe-inline 和 unsafe-eval 在可能的情況下。.
• 使用 report-uri 或 report-to 收集 CSP 違規。.
• 添加 X-XSS-Protection 和 X-Content-Type-Options: nosniff 標頭。.

CSP 不是萬能的解決方案，但顯著提高了安全標準。.

事件響應檢查清單（如果您發現確認的惡意有效載荷）

1. 隔離受影響的帖子（設置為私密或恢復到安全版本）。.
2. 審核最近的編輯和登錄歷史；檢查網絡伺服器和 WAF 日誌以尋找可疑的 POST 請求 post.php, 、REST 端點，或 admin-ajax.php.
3. 重置編輯/發布可疑內容的帳戶的憑證（強制重置密碼）。.
4. 撤銷受損用戶的 API 令牌和 OAuth 連接。.
5. 檢查上傳和插件/主題文件是否有後門：搜索最近修改的文件和包含可疑函數的 PHP 文件（例如。. eval(, base64_decode().
6. 如果被攻擊，從在違規窗口之前的乾淨備份中恢復。.
7. 向利益相關者報告，並要求編輯更改密碼並啟用 2FA。.

長期的加固建議

• 最小權限原則：僅在必要時授予作者權限；優先考慮貢獻者 + 編輯審查。.
• 對所有具有編輯/發布能力的帳戶強制執行 2FA。.
• 定期檢查活動插件並刪除未使用的插件。.
• 從貢獻者角色中移除 unfiltered_html 來自不受信任角色的能力。.
• 使用自動惡意軟件掃描和文件完整性監控。.
• 保持 WordPress 核心、主題和插件更新；訂閱多個可信的漏洞信息源。.
• 使用暫存環境測試更新並在發布到生產環境之前審核第三方內容。.

如何驗證 WAF 規則和清理器是否有效

1. 創建網站的暫存副本。.
2. 嘗試保存一個包含精心製作的 Press3D 區塊的帖子 javascript: 連結。確認 WAF 阻擋或清理器移除它。.
3. 確認清理後的內容不再包含 javascript: 在 文章內容.
4. 測試 CSP，嘗試內聯腳本並確認瀏覽器阻擋它並報告違規。.
5. 監控日誌以查找誤報並相應調整規則。.

取證查詢示例（在日誌中查找什麼）

• POST 到 admin-ajax.php, wp-admin/post.php, ，或 wp/v2/posts 包含 press3d 的帖子添加警報。 在主體中。.
• 使用百分比編碼的請求 javascript: 序列。.
• 由從未發布過的新帳戶創建的帖子，或作者元數據的突然變更。.
• 來自不尋常 IP 或地區的管理員/編輯行為。.

與內容團隊的溝通

• 清楚解釋查看某些由作者創建的內容可能會觸發惡意腳本。.
• 要求作者在控制措施到位之前停止發布 Press3D 內容。.
• 要求作者檢查草稿並移除未知或可疑的 3D 模型嵌入。.
• 提供報告可疑項目的聯繫方式和內容批准的流程。.

附加技術說明

• Gutenberg 區塊屬性通常以序列化的 HTML 註釋或 JSON 存儲在 文章內容. 中。如果插件在不轉義的情況下將屬性值渲染為 HTML，則可能會發生 XSS。.
• 攻擊者使用百分比編碼、UTF-8 變體或通過拆分事件屬性來繞過天真的過濾器。清理器和 WAF 規則必須考慮這種混淆。.
• 阻擋廣泛模式（例如任何 javascript:）對於大多數網站來說通常是安全的。如果您合法使用 數據： URI（例如用於SVG嵌入），請考慮仔細範圍的允許清單。.

常見問題

問： 我的網站只有一位作者（我）。這仍然是個問題嗎？
答： 風險較低，但如果您的帳戶被入侵（弱密碼、重複使用密碼、釣魚攻擊），則漏洞可能會被利用。使用雙重身份驗證和強密碼。.

問： 如果我移除Press3D插件，存儲的惡意內容會保留嗎？
答： 會。存儲的內容仍然存在於 文章內容 和 文章元資料. 。您必須搜索並清理帖子以移除存儲的有效載荷。.

問： 我可以僅依賴掃描器來檢測利用嘗試嗎？
答： 掃描器很有用，但通常是反應性的，可能會錯過混淆的有效載荷。將掃描與WAF、CSP和能力限制結合使用。.

恢復計劃時間表示例

• 0–1 小時： 限制作者權限，禁用問題區塊，應用虛擬修補以阻止 javascript: 在鏈接字段中，通知團隊。.
• 1–4小時： 搜索帖子，隔離可疑內容，重置可疑帳戶的憑證，開始取證日誌收集。.
• 4–24小時： 修復受感染的帖子或從乾淨的備份中恢復，輪換憑證，鎖定REST端點。.
• 24–72 小時： 部署CSP，繼續監控，準備與利益相關者的溝通，當供應商提供修補程序時更新插件。.
• 72小時以上： 進行事後分析，更新加固檢查清單，並在安全的情況下重新啟用受限功能。.

自動掃描/修復的範例規則（回歸安全）

• 不允許 javascript: 以及任何編碼等價物 href, src, ，或 連結 JSON 欄位。.
• 移除區塊 HTML 中找到的內聯事件處理程序。.
• 保留備份並將原始內容存儲在 _隔離備份 postmeta 之前的自動更改。.

從插件供應商那裡可以期待什麼以及時間表

• 插件維護者應該發布一個修補版本，該版本驗證並轉義 3D 模型區塊的連結 URL 值並拒絕不安全的 URI 協議。.
• 一旦修補程序發布，請在測試環境中更新，驗證清理未刪除合法內容，然後部署到生產環境。.
• 在修補程序可用之前，虛擬修補、作者控制和內容掃描是推薦的方法。.

最終檢查清單 — 你現在應該做什麼

• 限制或審核作者帳戶並強制執行 2FA。.
• 在修補之前禁用或限制 Press3D 區塊的使用。.
• 設置 WAF 規則以阻止 javascript:, 數據： 協議和內聯事件處理程序在帖子保存請求中。.
• 搜尋帖子和 postmeta 以查找 press3d 的帖子添加警報。, 3d-模型, javascript:, %3Cscript%3E, ，以及事件屬性；隔離並清理發現。.
• 應用 CSP 和安全標頭以減少 XSS 影響。.
• 執行檔案完整性和惡意軟體掃描；檢查是否有異常的檔案修改。.
• 如果確認遭到入侵，從乾淨的備份中恢復。.
• 一旦供應商發布修正版本，立即更新 Press3D；先在測試環境中進行測試。.

如果您需要操作協助來實施這些步驟，考慮聘請值得信賴的安全顧問或您的主機運營商來幫助部署虛擬補丁並執行內容清理和取證審查。.

— 香港安全專家