MainWP | 报告 #3179138 - 文章创建模块“创建分类”功能中的反射型XSS漏洞 | HackerOne

漏洞概述

在文章创建功能的“创建分类”特性中发现了一个反射型跨站脚本（XSS）漏洞。当用户在分类名称字段中输入恶意的JavaScript负载时，该输入会在提交后立即被反射并执行。然而，此XSS仅在攻击者自己的会话中执行，不会持久化或影响其他用户。

影响分析

此类漏洞的存在表明用户输入在反射回HTML响应之前未经过适当的清理或编码处理。虽然其他用户无法直接利用，但该缺陷可能带来以下影响：

• 突显了潜在入口点：如果应用程序其他部分存在类似的输入处理方式，可能引发更严重的XSS漏洞。
• 带来客户端安全风险：特别是在使用浏览器扩展、调试工具或集成第三方脚本的环境中。
• 降低对平台安全编码实践的信任：尤其是在管理多个WordPress站点的管理界面中。
• 可能被具有仪表板访问权限的攻击者（如内部威胁或低权限用户账户被入侵）利用，以测试或探索更多的负载注入点。

解决此类漏洞有助于提升应用程序的整体韧性，并预防未来更具影响力的攻击。

时间线

• 2025年6月5日 14:23 UTC：rishail01向MainWP提交报告。
• 2025年6月6日 15:01 UTC：MainWP员工bogdanrapaic将状态更改为“已分类”。
• 2025年6月6日 16:13 UTC：bogdanrapaic提供开发团队更新，并请求验证修复版本（mainwp.zip）。
• 2025年6月8日 15:46 UTC：rishail01确认反射型XSS漏洞已修复，但指出另外两个未解决的漏洞。
• 2025年6月9日 12:44 UTC：bogdanrapaic回应新报告问题。
• 2025年6月9日 13:10 UTC：rishail01询问CVE ID分配事宜。
• 2025年6月9日 13:44 UTC：MainWP同意支持CVE分配请求，并协调30天的披露延迟期。
• 2025年6月10日 05:50 UTC：rishail01确认接受30天协调期。
• 2025年6月10日 11:44 UTC：bogdanrapaic回应奖金决策问题。
• 2025年6月13日 16:39 UTC：orangethermal（MainWP员工）关闭报告，状态改为“已解决”。
• 2025年6月13日 16:46 UTC：MainWP向rishail01支付50美元奖金。
• 2025年6月17日 09:07 UTC：rishail01请求披露该报告，报告随后被公开。

漏洞详情

• 报告ID：#3179138
• 严重性：低（2.3）
• 弱点类型：跨站脚本（XSS） - 反射型
• CVE ID：无
• 奖金：$50

附件

• POC2.mp4（F4417210）：漏洞证明视频
• mainwp.zip（F4421561）：修复版本插件
• 1.png（F4428230）和2.png（F4428231）：未解决漏洞的截图证据

总结

该报告展示了从漏洞发现、验证、修复到协调披露的完整流程，体现了MainWP对安全问题的积极响应和与研究人员的良好合作。尽管漏洞本身影响有限，但及时修复和公开披露有助于提升整体软件安全性。