MainWP | 报告 #3179138 - 文章创建模块"创建分类"功能中的反射型XSS漏洞 | HackerOne

漏洞概述

在文章创建功能的"创建分类"特性中发现了一个反射型跨站脚本（XSS）漏洞。当用户在分类名称字段中输入恶意JavaScript负载时，输入内容会在提交后立即被反射并执行。然而，此XSS仅在攻击者自己的会话中执行，不会持久化或影响其他用户。

影响分析

此类漏洞的存在表明用户输入在反射回HTML响应之前未经过适当的清理或编码处理。虽然其他用户无法直接利用，但此缺陷可能带来以下影响：

• 如果应用程序其他部分存在类似的输入处理方式，这可能为更严重的XSS漏洞提供潜在入口点
• 在具有浏览器扩展、调试工具或集成第三方脚本的环境中，会带来客户端安全风险
• 降低对平台安全编码实践的信任度，特别是在管理多个WordPress站点的管理界面中
• 攻击者可通过访问仪表板（如内部威胁或受感染的低权限用户）来测试或探索更多的负载注入点

解决此类漏洞可提高应用程序的整体韧性，并有助于预防未来更具影响力的攻击。

时间线记录

2025年6月5日 14:23 UTC
rishail01 向MainWP提交报告

2025年6月6日 15:01 UTC
bogdanrapaic（MainWP员工）将状态更改为"已分类"

2025年6月6日 16:13 UTC
开发团队提供修复版本mainwp.zip（F4421561），要求确认修复效果

2025年6月8日 15:46 UTC
rishail01确认反射型XSS漏洞已修复，但指出另外两个漏洞仍未解决

2025年6月9日 12:44 UTC
MainWP团队回应将处理其他报告问题

2025年6月9日 13:10 UTC
关于CVE ID分配的讨论开始

2025年6月10日 11:44 UTC
赏金处理相关沟通

2025年6月13日 16:39 UTC
所有问题已解决并发布

2025年6月13日 16:46 UTC
MainWP向rishail01支付50美元赏金

2025年7月17日 09:07 UTC
报告被公开披露

技术细节

• 报告ID: #3179138
• 严重程度: 低（2.3）
• 弱点类型: 跨站脚本（XSS）- 反射型
• CVE ID: 无
• 赏金金额: 50美元

修复确认

通过提供的mainwp.zip文件，反射型XSS漏洞已成功修复。研究人员在确认修复的同时，指出仍存在其他未解决的问题。

协调披露

MainWP支持研究人员申请CVE分配，但要求30天的协调期以确保用户有足够时间更新插件。双方就披露时间表达成一致，体现了负责任的安全漏洞披露实践。