关键漏洞信息 漏洞类型: XSS (Cross-Site Scripting) 受影响软件: NextScripts: Social Networks Auto-Poster 受影响版本: 4.2.7 修复版本: 4.2.8 风险等级: Medium (CVSS score: 6.1 中度) CVSS 3.0 向量: AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N 概述: Social Networks Auto-Poster WordPress 插件存在反射型XSS漏洞,因为 参数未进行适当编码就被反射回。 PoC (证明概念): URL: http://192.168.0.103/wordpress/wp-admin/admin.php?page=nxssnap-reposter&action=edit&item=24" Payload: 时间线: 2018年10月25日: 通过联系表单请求电子邮件地址 2018年10月29日: 供应商提供电子邮件地址 2018年10月31日: 发送咨询通知 2018年11月02日: 供应商发布修复补丁 2019年02月05日: 确认修复及公开披露 详细信息和完整公告URL: https://security-consulting.icu/blog/2019/02/wordpress-social-networks-auto-poster-xss/