摘要

• 漏洞：经过身份验证（管理员）存储型跨站脚本（XSS）。.
• 受影响的软件：AMP增强器 - 官方AMP插件的兼容层，版本≤1.0.49。.
• CVE：CVE-2026-2027
• 严重性：中等（维护者评分CVSS 5.9）。实际影响取决于攻击者对管理员账户的访问。.
• 利用前提：网站上的管理员权限（或说服管理员保存恶意CSS）。.
• 立即缓解措施：停用或删除插件；检查并清理数据库中的存储设置；限制管理员账户；应用虚拟补丁/WAF规则以阻止恶意CSS负载，同时准备全面清理。.
• 恢复：如果怀疑被攻破，隔离网站，轮换凭据，扫描并删除注入内容，如有必要，从干净的备份中恢复。.

为什么这个存储型XSS很重要——即使只有管理员要求

尽管利用需要管理员保存负载，但攻击面仍然很大：

• 被盗或钓鱼的管理员凭据允许通过存储型XSS获得持久立足点。.
• 拥有管理员访问权限的恶意承包商或内部人员可以故意注入负载。.
• 社会工程可以欺骗管理员粘贴看似合法的CSS，其中包含隐藏负载。.

可能的后果包括会话盗窃、全站重定向、SEO中毒、后门脚本注入和声誉损害。由于负载存储在配置中并在全站提供，单次成功注入可能影响每个访问受影响页面的访客和管理员。.

问题如何运作（技术概述）

1. 该插件提供了一个“AMP自定义CSS”设置，管理员可以在其中输入AMP页面的CSS。.
2. 设置被保存在数据库中，随后回显到页面标记中以用于AMP输出。.
3. 不充分的清理允许输入被浏览器解释为可执行的或能够突破CSS上下文（例如，关闭样式块或引入HTML的构造）。.
4. 因为内容被存储并输出给访客，XSS是持久的（存储的），并在后续页面视图中执行。.

注意：现代浏览器和遗留的怪癖可以将意外的序列转化为可执行的操作，当用户控制的数据在没有安全编码的情况下输出时。.

现实的利用场景

• 被盗的管理员凭证：攻击者登录，将恶意内容粘贴到AMP自定义CSS中，负载被提供给访客。.
• 社会工程：管理员被说服从不可信的来源粘贴“推荐的CSS”，其中包含混淆的负载。.
• 恶意内部人员：具有管理员访问权限的员工或承包商存储负载以窃取数据或破坏网站。.

您可能已经受到影响的迹象

• 页面源代码或样式中出现意外的内联JavaScript或HTML片段。.
• 网站页面重定向到外部域。.
• 不寻常的仪表板行为或意外的管理员通知。.
• 新的或未知的管理员用户，您未创建的编辑帖子/页面，可疑的cron任务，或修改的核心/主题/插件文件。.
• 搜索引擎警告、黑名单或不寻常的流量模式。.

如果您使用受影响版本的插件并注意到这些迹象，请假设可能已被攻破，并立即遵循遏制步骤。.

网站所有者的立即步骤（按顺序）

1. 将网站置于维护模式或减少暴露：在调查期间暂时限制公众访问。.
2. 禁用AMP增强插件：最简单的立即缓解措施是禁用或移除插件，以停止其提供存储的内容。.
3. 检查并清理AMP自定义CSS设置：
   • 检查存储自定义CSS的插件选项（常见的键可能包括 amp_custom_css 或特定插件选项名称）。.
   • 如果发现意外内容，请删除或将字段设置为空字符串。.
   • 示例 WP-CLI： wp 选项 获取 amp_custom_css 并清除： wp 选项 更新 amp_custom_css ''
   • SQL 检查示例（始终先备份）：

   SELECT option_name, option_value FROM wp_options WHERE option_name LIKE '%amp%' OR option_value LIKE '%javascript:%' OR option_value LIKE '%<script%';

4. 轮换凭据并锁定管理员访问：
   • 重置所有管理员账户的密码，并强制使用强大且独特的密码。.
   • 在可能的情况下，要求所有管理员启用双因素身份验证。.
   • 删除或降级未知的管理员用户。.
5. 审查最近的管理员活动：检查审计日志（如果可用）以识别谁更改了设置；如果缺失，请启用日志记录。.
6. 扫描网站以查找其他指标：执行全站恶意软件扫描，并检查帖子、选项、主题文件和上传内容以查找注入代码。.
7. 审查备份：如果检测到安全漏洞且无法自信清理，请从注入之前的已知良好备份中恢复。.
8. 作为临时措施应用虚拟补丁/WAF 规则：阻止可疑有效负载被保存，并防止已存储的有效负载到达客户端（详细信息如下）。.
9. 清理后定期监控和重新扫描，以检测再感染或重复的恶意更改。.

查找 AMP 自定义 CSS 条目（WP-CLI 和 SQL）

帮助定位可疑值的示例（如果不确定，请替换表前缀） wp_):

# WP-CLI（如果您知道选项名称）;

在从生产环境中移除可疑内容之前，始终将其导出到安全环境进行分析。.

安全修复存储的设置

• 检查 CSS 中的危险构造：
  • url(javascript: 模式
  • 表达(...) （遗留 IE）
  • -moz-binding 或 行为: 属性
  • 嵌入的 HTML 片段，如 </style>, <script>, ，或事件处理程序，如 onerror=
  • 带有 HTML 或 JavaScript 的数据 URI (data:text/html;)
• 如果不确定，请完全清空该字段，并仅重新输入经过审核的最小 CSS。.
• 更倾向于将关键样式移动到版本控制下的主题文件中，并由开发人员审核，而不是依赖不受信任的管理员输入的 CSS。.

开发者指导：如何正确修复插件

插件维护者应同时使用严格的输入验证和安全的输出编码：

1. 在保存时验证输入：
   • 拒绝任意 HTML 或在纯 CSS 字段中无效的构造。.
   • 实施严格的允许的 CSS 属性和值格式的白名单，而不是依赖黑名单。.
   • 阻止如下构造 url(javascript:...), 表达(...), -moz-binding, 行为:, ，以及嵌入 HTML 的数据 URI。.
2. 在输出时进行清理或转义：
   • 在将存储的 CSS 写入页面时，确保它无法突破样式上下文。将其视为纯文本，并转义可能关闭样式块或开始 HTML 的字符。.
   • 使用适合放置在 <style> 块中。.
   • 中的内容的服务器端转义函数。, current_user_can('manage_options')始终在管理员表单和保存时强制执行能力检查（例如，.
3. ）和随机数。.
4. 使用经过审查的 CSS 清理库或实施严格的白名单方法，并包括单元测试以断言拒绝恶意序列。.
5. 添加自动化测试和模糊测试到持续集成中，以检测回归和常见的 XSS 变异向量。.

记录自定义 CSS 的处理方式，并警告管理员关于粘贴不可信内容的风险。

WAF / 虚拟补丁（通用指导）.

Web 应用防火墙（WAF）或响应检查层是等待官方插件更新时的有价值的短期缓解措施。正确配置的 WAF 规则可以阻止保存恶意 CSS 的尝试，并防止已存储的有效负载到达客户端。

• WAF 或边缘过滤器的有用操作： url(javascript:, 阻止在有效负载包含明显恶意模式（不区分大小写）时更新插件自定义 CSS 选项的 POST 请求：, -moz-binding, <script, onerror=, expression(.
• ，或可疑的数据 URI。.
• 限制或阻止来自不熟悉 IP 的管理员端点，并在重复尝试更改设置时发出警报。.
• 当发生被阻止的请求时，记录管理员账户和源 IP，以帮助取证分析。.

示例伪正则表达式模式（仅供说明 - 请仔细测试以避免误报）：

(?i)url\(\s*javascript:

规则应调整以避免阻止合法的 CSS（例如，合法的 url() 对图像的引用）。专注于在现代 CSS 中没有合理合法用途的构造。.

恢复检查清单（如果您怀疑被攻破）

1. 隔离网站（维护模式）以限制进一步损害。.
2. 进行完整备份（数据库 + 文件）以便进行取证分析。.
3. 扫描恶意工件：选项、帖子、主题/插件文件、上传和定时任务条目。.
4. 移除恶意内容：清除受影响的选项，用来自可信来源的原始文件替换已更改的文件。.
5. 更换管理员密码并重置 API 密钥。.
6. 审计用户账户，移除未知或未使用的管理员账户。.
7. 加强管理员访问：启用双因素认证，在可行的情况下应用 IP 限制，并最小化管理员账户。.
8. 如有必要，从干净的备份中恢复。.
9. 在清理后积极监控网站以寻找再感染的迹象。.

WordPress 网站所有者的长期安全最佳实践

• 最小化管理员账户的数量，并使用最小权限原则。.
• 强制使用强大、独特的密码，并要求管理员启用双因素认证。.
• 保持 WordPress 核心、主题和插件更新；在生产环境之前在暂存环境中测试更新。.
• 移除未使用的插件和主题；不要无限期保留禁用的插件。.
• 在安装插件之前进行审核：检查最近的更新、维护者和社区反馈。.
• 保持频繁的、经过验证的备份，存储在异地并定期测试恢复。.
• 使用WAF或响应检查层作为零日攻击场景的分层防御的一部分。.
• 启用日志记录和监控管理操作，并定期审查日志。.
• 实施内容安全策略（CSP），以减少XSS的影响，前提是与您的网站/AMP要求兼容。.
• 定期进行安全审计和自定义代码的代码审查。.

推荐的HTTP安全头

• 内容安全策略（CSP）— 严格的CSP可以限制脚本/样式的加载位置。与AMP仔细测试。.
• X-Content-Type-Options： nosniff
• X-Frame-Options： SAMEORIGIN （或 DENY （在适当的情况下）
• 引用策略： no-referrer-when-downgrade （或更严格）
• 严格传输安全： max-age=31536000; includeSubDomains; preload （如果使用 HTTPS）

仔细测试头部以避免破坏网站功能或 AMP 限制。.

检测查询和扫描

使用这些查询作为起点搜索可疑的存储 CSS 和 XSS 指标（根据需要替换表前缀）：

SELECT option_name, option_value;

将自动扫描与手动检查相结合；自动工具可能会漏掉混淆的有效负载或产生误报。.

实用的管理员命令（复制粘贴）

# 首先备份数据库和文件（始终）'

在对数据库执行更新或删除操作之前，始终进行备份。.

最终检查清单（可操作）

• 暂时停用或移除 AMP Enhancer 插件（≤1.0.49）。.
• 备份网站（文件 + 数据库）。.
• 检查并在需要时清除数据库中的 AMP 自定义 CSS 设置。.
• 重置管理员密码，并要求所有管理员启用 2FA。.
• 扫描网站以查找注入脚本、修改的文件和可疑的计划任务。.
• 应用 WAF/虚拟补丁规则，阻止危险的 CSS 结构和外部注入模式。.
• 监控被阻止的事件和审计日志，以查找重复尝试。.
• 在发布修复版本后立即更新插件，并首先在暂存环境中进行测试。.
• 加强管理员访问（IP 限制、强密码、减少管理员账户）。.
• 考虑在代码审查和 QA 后将关键 CSS 移动到版本控制下的主题文件中。.

结束思考

存储型XSS在面向管理员的功能中，如“自定义CSS”字段，展示了便利如何引入风险。正确的方法是分层的：移除或限制易受攻击的插件，清理并保护网站，并在应用永久修复的同时使用响应检查或WAF规则作为临时控制措施。.

如果您管理多个网站或在清理期间无法容忍停机，请考虑聘请合格的安全专业人员实施虚拟补丁，进行量身定制的清理，并准备补救计划。.

如果您希望获得量身定制的补救计划（逐步命令、搜索和清理脚本，以及针对您的环境调整的推荐WAF规则集），请回复您是使用共享主机、托管WordPress，还是拥有根/服务器访问权限，我将为您准备一个。.

— 香港安全专家