关键信息汇总 漏洞详情 Edb-ID: 20358 CVE: 2012-2583 漏洞名称: WordPress Plugin mini mail Dashboard widget 1.42 - Persistent Cross-Site Scripting 作者: LONEFERRET 类型: WEBAPPS 平台: PHP 日期: 2012-08-08 易受攻击的应用: Mini Mail Dashboard Widget 1.42 时间线 2012-05-29: 漏洞报告给CERT 2012-05-30: 收到CERT关于披露日期的答复,预定在2012年7月20日披露 2012-07-14: 版本1.43发布 2012-08-08: 公开披露漏洞 测试环境 安装于: Ubuntu Server LAMP 8.04 WordPress 版本: 3.3.1 客户端操作系统: Windows XP Pro SP3 (x86) 浏览器: Internet Explorer 8 关键细节 执行XSS需要用户点击'view in HTML' 注入点: Body 注入载荷示例: 列出了多种XSS载荷,例如 攻击向量: 通过电子邮件发送XSS载荷给受害者 其他 注: 来源及实验数据可以refer Exploit-DB对应的链路,注释了多种经典的XSS载荷方式,包括script标签、iframe、img标签等,值得注意的是攻击者可以通过邮件中的图片链接注入恶意脚本执行XSS攻击。