反射型XSS在"成本跟踪器"笔记字段中的漏洞报告

漏洞描述

在MainWP客户端管理面板的"成本跟踪器"模块中，当用户添加或编辑成本时，可以在笔记字段输入任意内容。由于缺乏适当的输入净化和输出编码，如果该输入包含恶意JavaScript（例如XSS有效载荷），将在保存后立即被反射并执行。

该脚本不会永久存储在系统中，这证实了它是一个反射型XSS，在当前会话提交后立即触发。

影响分析

该漏洞的存在表明用户输入在反射回HTML响应之前没有经过适当的净化或编码处理。虽然其他用户无法直接利用此漏洞，但可能带来以下影响：

1. 如果应用程序其他部分存在类似的输入处理方式，这可能成为更严重XSS漏洞的潜在入口点
2. 在浏览器扩展、调试工具或集成第三方脚本的环境中，会带来客户端安全风险
3. 降低了用户对平台安全编码实践的信任度，特别是在管理多个WordPress站点的管理界面中
4. 攻击者可通过访问仪表板（如内部威胁或低权限用户被入侵）来测试或探索更多有效载荷注入点

修复过程

• 2025年6月10日：漏洞报告提交
• 同日11:39：MainWP团队确认漏洞并标记为"已分类"
• 同日16:05：MainWP团队发布补丁版本mainwp.zip
• 6月11日：研究人员反馈补丁未完全修复问题
• 6月11日12:04：MainWP团队建议清除缓存并重新测试
• 6月11日21:41：研究人员确认在非Chrome浏览器中漏洞已修复
• 6月13日：所有五个相关漏洞被标记为已解决，并向研究人员支付50美元奖金
• 6月17日：漏洞报告被公开披露

技术细节

漏洞类型：反射型跨站脚本(XSS) CVE ID：无 严重程度：低(2.2) 赏金金额：50美元