支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:752

75.2%
立即捐款
一、 漏洞 CVE-2022-4782 基础信息
漏洞信息
                                        # ClickFunnels <= 3.1.1 - Contributor+ 通过 Shortcode 存储的 XSS

## 漏洞概述
ClickFunnels WordPress插件在3.1.1版本及以下存在一个漏洞,该漏洞没有对短代码属性进行验证和转义,从而可能导致具有贡献者角色的用户执行存储型XSS攻击。

## 影响版本
ClickFunnels WordPress plugin 3.1.1及以下版本

## 细节
插件没有正确验证和转义其短代码中的一个属性,导致用户能够在其中注入恶意脚本。贡献者级别的用户利用此漏洞可以插入恶意代码,触发存储型XSS攻击。

## 影响
具有贡献者角色的用户能够执行存储型XSS攻击,这可能允许攻击者盗取cookie信息、篡改页面内容或进一步控制受影响的WordPress网站。
神龙判断

是否为 Web 类漏洞:

判断理由:

是。这个漏洞存在于ClickFunnels WordPress插件中,由于插件对其中一个短代码属性未进行验证和转义,导致具有最低贡献者角色的用户可以执行存储型跨站脚本攻击(Stored Cross-Site Scripting, XSS)。这种类型的漏洞发生在服务端,因为它是由于服务器端代码处理用户输入时的安全检查不足造成的。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
ClickFunnels <= 3.1.1 - Contributor+ Stored XSS via Shortcode
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The ClickFunnels WordPress plugin through 3.1.1 does not validate and escape one of its shortcode attributes, which could allow users with a role as low as contributor to perform Stored Cross-Site Scripting attack.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
WordPress plugin ClickFunnels 跨站脚本漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。 WordPress plugin ClickFunnels 存在跨站脚本漏洞。目前尚无此漏洞的相关信息,请随时关注CNNVD或厂商公告。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站脚本
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2022-4782 的公开POC
#POC 描述源链接神龙链接
1A security-patched fork of the legacy ClickFunnels Classic WordPress plugin. Fixes critical Stored XSS vulnerabilities (CVE-2022-4782) while maintaining original API functionality for existing funnels. Maintained by WP Republic.https://github.com/Sudo-WP/sudowp-clickfunnels-zurichPOC详情
三、漏洞 CVE-2022-4782 的情报信息
四、漏洞 CVE-2022-4782 的评论

暂无评论

发表评论