MainWP成本跟踪器笔记字段反射型XSS漏洞报告

漏洞概述

在MainWP客户端管理面板的"成本跟踪器"模块中（版本5.4.0.11），“笔记"输入字段存在反射型跨站脚本（XSS）漏洞。当用户添加或编辑成本时，可在笔记字段输入任意内容，若包含恶意JavaScript代码（如XSS有效载荷），由于缺乏适当的输入清理和输出编码，该代码会在保存后立即执行。

技术细节

• 漏洞类型：反射型XSS（非持久性）
• 触发条件：提交包含恶意脚本的笔记内容
• 影响范围：当前会话立即执行
• 根本原因：用户输入未经过适当清理或编码就被反射回HTML响应

漏洞影响

1. 可能成为更严重XSS漏洞的入口点
2. 对客户端安全构成风险（特别是在使用浏览器扩展、调试工具或集成第三方脚本的环境中）
3. 降低对平台安全编码实践的信任度
4. 可能被拥有仪表板访问权限的攻击者（如内部威胁或低权限用户）用来测试其他注入点

修复过程

1. 2025年6月10日：漏洞报告提交
2. 同日11:39：MainWP团队将状态改为"已分类”
3. 同日16:05：发布补丁版本（mainwp.zip）
4. 6月11日：验证发现补丁未完全修复
5. 经过多次测试确认，最终在5.4.0.12版本中完全修复
6. 6月13日：所有相关问题解决并发布，向研究者支付50美元奖金

时间线

• 6月10日06:39：初始报告
• 6月11日09:41：确认修复
• 6月13日16:43：漏洞关闭并发放奖金
• 7月17日：报告公开披露

安全建议

1. 对所有用户输入实施严格的清理和编码
2. 采用内容安全策略(CSP)作为额外防护层
3. 定期进行安全审计和渗透测试
4. 建立漏洞奖励计划鼓励负责任的披露