漏洞概述 WordPress appointment-booking-calendar 1.1.24 存在多个权限提升漏洞,允许未授权的攻击者修改日历设置并注入持久性跨站脚本(XSS)载荷。攻击者可以通过 admin.php 页面参数注入恶意 JavaScript 到 'ict' 和 'ics' 选项或日历 'name' 参数中,通过 GET 请求执行任意脚本,当日历被显示或访问时,在管理界面中执行。 影响范围 受影响版本:Booking Calendar Contact <= 1.1.24 严重程度:HIGH 发布日期:6/15/2026 CVE 编号:CVE-2016-20084 CWE 编号:CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') CVSS 评分:5.1 CVSS V4 向量:CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:R/PVC:N/VI:N/VA:N/SC:L/SI:L/SA:N 修复方案 参考链接: - ExploitDB-39341 - Product Reference 其他信息 贡献者:Joaquin Ramirez Martinez [ IO security-lab] 页面其他内容 VulnCheck 平台介绍:VulnCheck 是一个下一代网络威胁情报平台,提供漏洞和漏洞情报,帮助优先处理和修复重要的漏洞。 功能特点: - 漏洞优先排序:根据威胁景观优先处理重要的漏洞,推迟不重要的漏洞。 - 早期预警系统:实时警报漏洞景观的变化,以便在攻击开始前采取行动。 页脚信息 产品:Exploit & Vulnerability Intelligence, Initial Access Intelligence, Canary Intelligence, Target Intelligence, VulnCheck for Government 资源:Resource Center, Documentation, API, Open Source & Tools, Changelog, Glossary, Contact Support 社区:VulnCheck KEV, NVD++, VulnCheck Exploit Database (XDB), Knowledge Base, Report a Vulnerability 公司:Blog, News and Awards, Press Releases, Events, THREATCON1 Podcast, VulnCheck Advisories, About VulnCheck, Careers 合作伙伴:Become a Partner, Register a Deal, Existing Partners 法律:Privacy Policy, Terms & Conditions, Vulnerability Disclosure Policy, Service Terms 总结 WordPress appointment-booking-calendar 1.1.24 存在严重的权限提升和 XSS 漏洞,影响多个功能模块。建议尽快更新到最新版本,并参考提供的链接获取更多信息和修复方案。