支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:736

73.6%
立即捐款
一、 漏洞 CVE-2023-54332 基础信息
漏洞信息
                                        # Jetpack 11.4 XSS漏洞

## 概述
Jetpack 11.4 中的联系表单模块存在跨站脚本(XSS)漏洞。

## 影响版本
Jetpack 11.4

## 细节
该漏洞存在于联系表单模块中,攻击者可通过 `post_id` 参数注入恶意脚本。通过构造包含脚本载荷的恶意 URL,可在受害者访问联系表单页面并进行交互时触发。

## 影响
攻击者可利用该漏洞在受害者的浏览器中执行任意 JavaScript 代码,可能导致会话劫持、敏感信息窃取或恶意操作。
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Jetpack 11.4 - Cross Site Scripting (XSS)
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Jetpack 11.4 contains a cross-site scripting vulnerability in the contact form module that allows attackers to inject malicious scripts through the post_id parameter. Attackers can craft malicious URLs with script payloads to execute arbitrary JavaScript in victims' browsers when they interact with the contact form page.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
WordPress plugin Jetpack 跨站脚本漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台具有在基于PHP和MySQL的服务器上架设个人博客网站的功能。WordPress plugin是一个应用插件。 WordPress plugin Jetpack 11.4版本存在跨站脚本漏洞,该漏洞源于联系表单模块的post_id参数未经验证,可能导致跨站脚本攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站脚本
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-54332 的公开POC
#POC 描述源链接神龙链接
三、漏洞 CVE-2023-54332 的情报信息

  • 标题: Jetpack 11.4 - Cross Site Scripting (XSS) - PHP webapps Exploit -- 🔗来源链接

    标签:exploit

    神龙速读:
                                            ## 关键漏洞信息

- **漏洞标题**: Jetpack 11.4 - Cross Site Scripting (XSS)
- **EDB-ID**: 51104
- **CVE**: N/A
- **作者**: Behrouz Mansoori
- **类型**: WEBAPPS
- **平台**: PHP
- **日期**: 2023-03-28
- **受影响的应用**: Jetpack 11.4
- **测试环境**: Mac m1

### 描述
该插件可以从任何帖子类型创建 Jetpack。通过插件设置中的滑块导入搜索功能和标签参数,易受反射型跨站脚本攻击。

### 漏洞利用概念验证 (PoC)
```http
http://localhost/modules/contact-form/grunion-form-view.php?post_id=<script>alert(document.cookie)</script>
```
    Jetpack 11.4 - Cross Site Scripting (XSS) - PHP webapps Exploit

  • 标题: Jetpack – WP Security, Backup, Speed, & Growth – WordPress plugin | WordPress.org -- 🔗来源链接

    标签:product

    Jetpack – WP Security, Backup, Speed, & Growth – WordPress plugin | WordPress.org

  • 标题: Jetpack 11.4 - Cross Site Scripting (XSS) | Advisories | VulnCheck -- 🔗来源链接

    标签:third-party-advisory

    神龙速读:
                                            ### 关键漏洞信息

- **漏洞类型**: Cross Site Scripting (XSS)
- **CVE编号**: CVE-2023-54332
- **CWE编号**: CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')
- **CVE-score**: 6.4
- **CVSS向量**: CVSS:3.1/AV:N/AC:L/PR:N/UI:A/SC:L/CI:N/II:N/E:P/RL:U/RC:C
- **QHDB编号**: QT-QHDB-51104
- **相关链接**:
  - [ExploitDB](https://www.exploit-db.com/exploits/51104)
  - [Jetpack WordPress Plugin Homepage](https://jetpack.com/)
- **研究人员**: Behrouz Mansoori
- **描述**: Jetpack 11.4中存在接触表单模块中的跨站脚本漏洞,攻击者通过对post_id参数注射恶意脚本进行攻击。攻击者可以制作带有脚本有效载荷的恶意URL,当用户与交互时,可以在受害者的浏览器中执行任意JavaScript代码。
- **影响版本**: Jetpack 11.4
- **发布日期**: January 13, 2026
- **严重程度**: 中等
    Jetpack 11.4 - Cross Site Scripting (XSS) | Advisories | VulnCheck
  • https://nvd.nist.gov/vuln/detail/CVE-2023-54332
四、漏洞 CVE-2023-54332 的评论
匿名用户
2026-01-15 06:08:43

Zaproxy alias impedit expedita quisquam pariatur exercitationem. Nemo rerum eveniet dolores rem quia dignissimos.

发表评论