支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:752

75.2%
立即捐款
一、 漏洞 CVE-2017-20192 基础信息
漏洞信息
                                        # Formidable Form Builder 未授权存储型 XSS 漏洞

## 漏洞概述
Formidable Form Builder for WordPress 插件在版本 2.05.03 之前的版本中存在存储型跨站脚本漏洞(Stored XSS)。该漏洞是由于输入过滤和输出转义不足导致的,恶意用户可以通过表单提交中的多个参数(如 'after_html')注入任意 Web 脚本。

## 影响版本
- 2.05.03 之前的版本

## 漏洞细节
攻击者可以通过提交包含恶意脚本的表单字段参数(如 'after_html'),这些脚本会被存储并在受害用户浏览器中执行。这主要因为插件未能充分对输入进行过滤和对输出进行转义。

## 影响
未认证的攻击者可以利用此漏洞注入任意 Web 脚本,这些脚本将存储并在其他用户的浏览器中执行。这可能导致会话劫持、敏感信息泄露、其他恶意行为等安全问题。
神龙判断

是否为 Web 类漏洞:

判断理由:

是。这个漏洞是Web服务的服务端漏洞,因为Formidable Form Builder插件在处理表单条目时(例如参数'after_html'),由于对输入的过滤不严格和输出时未进行适当的转义,导致存在存储型跨站脚本(Stored XSS)漏洞。这使得未认证的攻击者可以注入任意的Web脚本,这些脚本会在受害者的浏览器中执行,从而对服务端和用户造成威胁。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Formidable Form Builder < 2.05.03 - Unauthenticated Stored Cross-Site Scripting
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The Formidable Form Builder plugin for WordPress is vulnerable to Stored Cross-Site Scripting via multiple parameters submitted during form entries like 'after_html' in versions before 2.05.03 due to insufficient input sanitization and output escaping. This makes it possible for unauthenticated attackers to inject arbitrary web scripts that execute in a victim's browser.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
WordPress plugin Formidable Form Builder 跨站脚本漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。 WordPress plugin Formidable Form Builder 2.05.03版本存在跨站脚本漏洞,该漏洞源于包含一个存储型跨站脚本问题。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站脚本
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2017-20192 的公开POC
#POC 描述源链接神龙链接
1Docker lab for CVE-2017-20192 (Formidable Forms < 2.05.03 stored XSS)https://github.com/flame-11/CVE-2017-20192-formidable-formsPOC详情
2Formidable Form Builder for WordPress versions before 2.05.03 contains a stored cross-site scripting caused by insufficient input sanitization and output escaping in form parameters like 'after_html', letting unauthenticated attackers inject and execute arbitrary scripts in victims' browsers https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2017/CVE-2017-20192.yamlPOC详情
三、漏洞 CVE-2017-20192 的情报信息
四、漏洞 CVE-2017-20192 的评论

暂无评论

发表评论