支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:752

75.2%
立即捐款
一、 漏洞 CVE-2019-9978 基础信息
漏洞信息
                                        # N/A

## 漏洞概述
在 WordPress 的 Social Warfare 插件版本 3.5.3 之前的版本中,存在存储型 XSS 漏洞。攻击者可以通过 `wp-admin/admin-post.php?swp_debug=load_options` 中的 `swp_url` 参数触发该漏洞。此漏洞在 2019 年 3 月被利用。

## 影响版本
- Social Warfare < 3.5.3
- Social Warfare Pro < 3.5.3

## 漏洞细节
攻击者可以通过 `wp-admin/admin-post.php?swp_debug=load_options` URL 中的 `swp_url` 参数注入恶意脚本,进而导致存储型 XSS 漏洞。

## 影响
该漏洞允许攻击者通过注入恶意脚本,在受影响的 WordPress 网站上执行跨站脚本攻击,可能导致用户的会话信息被盗取或其他安全问题。
神龙判断

是否为 Web 类漏洞:

判断理由:

是。这个漏洞存在于WordPress的social-warfare插件版本3.5.3之前,通过wp-admin/admin-post.php?swp_debug=load_options的swp_url参数存储了XSS(跨站脚本攻击),该漏洞在2019年3月被利用。这表明问题是出在服务端的安全配置或代码中,导致了恶意脚本可以被存储并执行。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The social-warfare plugin before 3.5.3 for WordPress has stored XSS via the wp-admin/admin-post.php?swp_debug=load_options swp_url parameter, as exploited in the wild in March 2019. This affects Social Warfare and Social Warfare Pro.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
WordPress social-warfare插件跨站脚本漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
WordPress是WordPress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。social-warfare plugin是使用在其中的一个社交平台分享插件。 WordPress social-warfare插件3.5.3之前版本中存在跨站脚本漏洞。远程攻击者可借助‘swp_url’参数利用该漏洞注入恶意的JavaScript脚本。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站脚本
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2019-9978 的公开POC
#POC 描述源链接神龙链接
1CVE-2019-9978 - RCE on a Wordpress plugin: Social Warfare < 3.5.3https://github.com/mpgn/CVE-2019-9978POC详情
2CVE-2019-9978 - (PoC) RCE in Social WarFare Plugin (<=3.5.2)https://github.com/hash3liZer/CVE-2019-9978POC详情
3Wordpress Social Warfare Remote Code Execution (AUTO UPLOAD SHELL)https://github.com/KTN1990/CVE-2019-9978POC详情
4cve-2019-9978https://github.com/cved-sources/cve-2019-9978POC详情
5Social WarFare Plugin (<=3.5.2) Remote Code Executionhttps://github.com/d3fudd/CVE-2019-9978_ExploitPOC详情
6Remote Code Execution in Social Warfare Plugin before 3.5.3 for Wordpress.https://github.com/grimlockx/CVE-2019-9978POC详情
7python3 version of the CVE-2019-9978 exploithttps://github.com/h8handles/CVE-2019-9978-Python3POC详情
8Nonehttps://github.com/20dani09/CVE-2019-9978POC详情
9cve-2019-9978 PoC https://github.com/0xMoonrise/cve-2019-9978POC详情
10Nonehttps://github.com/MAHajian/CVE-2019-9978POC详情
11A Remote Code Execution (RCE) vulnerability in the Social Warfare plugin for WordPress, affecting versions below 3.5.3.https://github.com/echoosso/CVE-2019-9978POC详情
12WordPress Social Warfare plugin before 3.5.3 contains a cross-site scripting vulnerability via the wp-admin/admin-post.php?swp_debug=load_options swp_url parameter, affecting Social Warfare and Social Warfare Pro.https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2019/CVE-2019-9978.yamlPOC详情
13The `swp_debug` parameter in `admin-post.php` allows remote attackers to include external files containing malicious PHP code, which are evaluated on the server. By supplying a crafted URL that hosts a reverse shell payload, an attacker can gain command execution.https://github.com/Housma/CVE-2019-9978-Social-Warfare-WordPress-Plugin-RCEPOC详情
14payload txthttps://github.com/xxoprt/payloadCVE-2019-9978POC详情
15A custom Python proof-of-concept showcasing root-cause analysis and exploitation of CVE 2019-9978 (Social Warfare plugin),focusing on practical RFI to RCE attack flow.https://github.com/Vaidehim55/CVE-2019-9978-RCE-PoCPOC详情
三、漏洞 CVE-2019-9978 的情报信息
四、漏洞 CVE-2019-9978 的评论
匿名用户
2025-09-09 10:09:40

Venture into the epic sandbox of EVE Online. Shape your destiny today. Conquer alongside millions of pilots worldwide. <a href=https://www.eveonline.com/signup?invc=46758c20-63e3-4816-aa0e-f91cff26ade4>Download free</a>

匿名用户
2026-01-15 06:09:48

Zaproxy alias impedit expedita quisquam pariatur exercitationem. Nemo rerum eveniet dolores rem quia dignissimos.

发表评论