漏洞总结 漏洞概述 WordPress 插件 Shortcodes Ultimate 中存在跨站脚本攻击(XSS)漏洞。在 文件的 函数中,开发者在输出用户输入的参数(如 , , )到 HTML 属性之前,未进行适当的转义处理( ),导致攻击者可以通过构造恶意的 shortcode 参数注入 JavaScript 代码。 影响范围 插件名称:Shortcodes Ultimate 受影响文件: 受影响版本:截图显示版本为 7.4.9(通常指该版本及之前版本)。 修复方案 在将用户输入的参数( , , 等)拼接到 HTML 字符串中之前,必须使用 函数进行转义,以防止 XSS 攻击。 POC/利用代码** 漏洞存在于 函数的第 113 行,代码直接拼接了未转义的 等变量: