漏洞总结 漏洞概述 WordPress 插件 存在多个安全漏洞,主要涉及跨站脚本攻击(XSS)。在 文件中,代码直接拼接了未转义的变量(如 , , , 以及各类 CSS 颜色、尺寸变量)到 HTML 标签属性和内容中。攻击者可通过构造恶意输入,在页面中注入恶意脚本。 影响范围 受影响的插件名称: 受影响的版本:低于 1.2.5.8 的所有版本。 修复方案 将插件升级至版本 1.2.5.8。 修复代码/POC 主要修复位于 文件中,通过引入 和 函数对输出内容进行转义。 具体 CSS 属性转义示例: