支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:736

73.6%
立即捐款
一、 漏洞 CVE-2020-36919 基础信息
漏洞信息
                                        # WPForms 1.7.8 XSS漏洞

N/A
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
WPForms 1.7.8 - Cross-Site Scripting (XSS)
来源:美国国家漏洞数据库 NVD
漏洞描述信息
WPForms 1.7.8 contains a cross-site scripting vulnerability in the slider import search feature and tab parameter. Attackers can inject malicious scripts through the ListTable.php endpoint to execute arbitrary JavaScript in victim's browser.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
Wordpress plugin WPForms 跨站脚本漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台具有在基于PHP和MySQL的服务器上架设个人博客网站的功能。WordPress plugin是一个应用插件。 Wordpress plugin WPForms 1.7.8版本存在跨站脚本漏洞,该漏洞源于slider导入搜索功能和tab参数存在跨站脚本漏洞,可能导致执行任意JavaScript。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站脚本
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2020-36919 的公开POC
#POC 描述源链接神龙链接
三、漏洞 CVE-2020-36919 的情报信息

  • 标题: WPForms 1.7.8 - Cross-Site Scripting (XSS) - PHP webapps Exploit -- 🔗来源链接

    标签:exploit

    神龙速读:
                                            ### 关键信息

- **漏洞名称**: WPForms 1.7.8 - Cross-Site Scripting (XSS)
- **EDB-ID**: 51152
- **CVE**: N/A
- **作者**: Milad Karimi
- **类型**: WEBAPPS
- **平台**: PHP
- **日期**: 2023-03-30
- **漏洞应用**: [WPForms Lite](https://wordpress.org/plugins/wpforms-lite)

#### 漏洞描述

- 这个插件可以从任何帖子类型创建 WPForms。通过插件设置的幻灯片导入搜索功能和标签参数存在反射式跨站脚本漏洞。

#### 漏洞证明概念 (POC)
```
https://[target]/ListTable.php?foobar=<script>alert("Ex3ptionaL")</script>
``` 
- **测试平台**: Windows 10
- **版本**: 1.7.8
    WPForms 1.7.8 - Cross-Site Scripting (XSS) - PHP webapps Exploit

  • 标题: WPForms – Easy Form Builder for WordPress – Contact Forms, Payment Forms, Surveys, & More – WordPress plugin | WordPress.org -- 🔗来源链接

    标签:product

    神龙速读:
                                            从这个网页截图中获取到的关于漏洞的关键信息如下:

- **插件名称**:WPForms
- **版本**:1.9.8.7
- **作者**:Syed Balkhi 和 Jared Atchison
- **活跃安装量**:超过600万
- **支持的WordPress版本**:5.5或更高版本
- **支持的PHP版本**:7.2或更高版本
- **更新时间**:1个月前

从这些信息中无法直接获取到漏洞的具体信息,但可以确认这是一个非常流行的插件,具有广泛的用户基础。如果有任何漏洞,鉴于其高用户量,可能对大量网站构成潜在威胁。通常,需要进一步的安全研究或公告来确认是否存在具体漏洞。这里建议随时关注插件更新和安全公告,保持插件最新版本,以降低潜在的安全风险。
    WPForms – Easy Form Builder for WordPress – Contact Forms, Payment Forms, Surveys, & More – WordPress plugin | WordPress.org

  • 标题: WPForms 1.7.8 - Cross-Site Scripting (XSS) | Advisories | VulnCheck -- 🔗来源链接

    标签:third-party-advisory

    神龙速读:
                                            ### 关键信息概览

- **漏洞类型**: Cross-Site Scripting (XSS)
- **影响版本**: WPForms 1.7.8 及以下版本
- **严重程度**: Medium
- **发布日期**: 2026 年 1 月 13 日
- **CVE**: CVE-2020-36919
- **CWE**: CWE-79 不当中和在网页生成期间的输入(跨站脚本)
- **CVSS**: 4.0 (AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N)
- **ExploitDB**: ExploitDB-51152
- **插件主页**: WPForms Lite Plugin Homepage
- **报告人**: Milad Karimi
- **描述**: WPForms 1.7.8 在滑块导入搜索功能和标签参数中存在跨站脚本漏洞。攻击者可以通过 ListTable.php 端点注入恶意脚本,在受害者的浏览器中执行任意 JavaScript 。
    WPForms 1.7.8 - Cross-Site Scripting (XSS) | Advisories | VulnCheck
  • https://nvd.nist.gov/vuln/detail/CVE-2020-36919
四、漏洞 CVE-2020-36919 的评论
匿名用户
2026-01-15 06:08:43

Zaproxy alias impedit expedita quisquam pariatur exercitationem. Nemo rerum eveniet dolores rem quia dignissimos.

发表评论