反射型XSS漏洞报告：MainWP成本追踪器备注字段

漏洞概述

在MainWP客户端管理面板的"成本追踪器"模块（版本5.4.0.11）中，“备注"输入字段存在反射型跨站脚本（XSS）漏洞。用户在添加或编辑成本时，可在备注字段输入任意内容，当输入包含恶意JavaScript代码（如XSS载荷）时，由于缺乏适当的输入清理和输出编码，该代码会在保存后立即反射执行。

技术细节

• 漏洞类型：反射型XSS（非持久化）
• 触发条件：提交包含恶意脚本的备注字段后立即在当前会话中触发
• 根本原因：用户输入在返回HTML响应前未进行正确清理或编码

影响分析

1. 暴露出应用程序其他部分可能存在类似输入处理漏洞的入口点
2. 在具有浏览器扩展、调试工具或集成第三方脚本的环境中构成客户端安全风险
3. 降低对平台安全编码实践的信任度（特别是在管理多个WordPress站点的管理界面中）
4. 可能被具有仪表板访问权限的攻击者（如内部威胁或低权限用户）用于测试或探索更多载荷注入点

修复时间线

• 2025年6月10日06:39：rishail01提交漏洞报告
• 同日11:39：MainWP团队将状态改为"已分类”
• 同日16:05：团队发布补丁版本mainwp.zip（F4435415）
• 6月11日05:13：研究人员验证补丁无效，漏洞仍然存在
• 同日11:18：团队要求确认清除浏览器缓存
• 同日11:43：研究人员使用无痕窗口重新验证
• 同日12:04：团队无法复现问题，建议重新安装最新版本（5.4.0.12）
• 同日21:41：研究人员在其他浏览器确认漏洞已修复
• 6月13日16:39：所有报告漏洞均已修复，状态改为"已解决"
• 同日16:43：支付50美元赏金
• 6月17日09:08：报告公开披露

相关资源

• 漏洞演示视频：Cost_Tracker_Notes_XSS.mp4（附件F4433587）
• 修复验证视频：Cost_Tracker_XSS_Fixed.mp4（附件F4442908）
• 补丁文件：mainwp.zip（附件F4435415）

技术参数

• 严重等级：低（2.2）
• 弱点类型：反射型跨站脚本（XSS）
• CVE编号：无
• 赏金金额：50美元