关键漏洞信息 描述 漏洞类型: 存储型跨站脚本(Stored XSS) 受影响插件: AI ChatBot for WordPress - WPBot < 6.2.4 问题: 插件未对某些设置进行清理和转义,允许高权限用户(如管理员)执行存储型跨站脚本攻击,即使在禁用 功能时也是如此。 概念验证 (PoC) 1. 访问 2. 在“Agent name”字段中输入payload: 3. 保存 4. 打开网站前端的聊天机器人查看XSS效果 影响插件 chatbot (已修复于版本6.2.4) 参考 CVE: CVE-2025-0329 分类 类型: XSS OWASP Top 10: A7: Cross-Site Scripting (XSS) CWE: CWE-79 CVSS: 3.5 (低) 其他信息 原始研究员: Bob Matyas 提交者: Bob Matyas 提交者网站: https://www.bobmatyas.com 提交者Twitter: bobmatyas 验证状态: 已验证 WPVDB ID: db101819-4404-46c9-a02e-b1b1b7ace11e 时间线 公开发布日期: 2025-01-08 添加日期: 2025-03-03 最后更新日期: 2025-03-03