Wordpress sourceAFRICA Plugin Cross...

- AV AC AU C I A
发布: 2025-04-13
修订: 2025-04-13

<p>漏洞涉及到的是:WordPress的一个插件sourceAFRICA,0.1.3版本上有XSS。</p><p>插件主页:<a href="https://wordpress.org/plugins/sourceafrica/" rel="nofollow">https://wordpress.org/plugins/sourceafrica/</a></p><p>下载链接:<a href="https://downloads.wordpress.org/plugin/sourceafrica.zip" rel="nofollow">https://downloads.wordpress.org/plugin/sourceafrica.zip</a></p><p>其中的js/windows.php的第18/19行代码,直接使用当前url没有过滤。</p><pre class="lang-html" data-lang="html">&lt;script src="&lt;?php echo $SITEURL;?&gt;wp-includes/js/tinymce/tiny_mce_popup.js"&gt;&lt;/script&gt; &lt;script src="&lt;?php echo $SITEURL;?&gt;wp-includes/js/tinymce/utils/form_utils.js"&gt;&lt;/script&gt;</pre><p>可进行XSS。</p>

0%
暂无可用Exp或PoC
当前有0条受影响产品信息