CVE-2020-37233 CVSS 6.4 中危

CVE-2020-37233 WordPress BuddyPress 存储型XSS漏洞

披露日期: 2026-05-16

来源: [email protected]

漏洞信息

漏洞编号

CVE-2020-37233

漏洞类型

存储型XSS

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress Plugin BuddyPress

漏洞概述

WordPress插件BuddyPress 6.2.0存在存储型XSS漏洞。具有审核员权限的认证攻击者可通过wp:html块中的figure参数注入包含iframe和事件处理器的恶意脚本代码。一旦管理员预览或查看受影响的页面内容，脚本即被执行，导致会话劫持及持久化钓鱼攻击。

技术细节

该漏洞源于WordPress编辑器在处理`wp:html`块时对`figure`参数的输入验证不足。具有审核员权限的攻击者可以构造特定的HTML payload，通过该参数注入带有`onload`等事件处理器的`iframe`元素。系统未能正确过滤这些恶意输入，导致代码被持久化存储在数据库中。当具有更高权限的用户（如管理员）访问或预览受影响的页面时，浏览器会解析并执行嵌入的恶意脚本。由于是存储型XSS，攻击者无需诱骗用户点击特定链接，即可在受害者上下文中执行任意JS代码，进而实施会话劫持或恶意操作。

攻击链分析

STEP 1

1. 身份认证

攻击者获取一个具有审核员或编辑权限的WordPress账号。

STEP 2

2. 注入Payload

攻击者在文章编辑器中使用wp:html块，并在figure参数中插入包含恶意onload事件的iframe代码。

STEP 3

3. 持久化存储

保存或发布文章，恶意代码被存储在网站数据库中。

STEP 4

4. 触发漏洞

管理员或其他高权限用户访问该文章页面或进行预览操作。

STEP 5

5. 执行攻击

浏览器解析iframe并触发onload事件，执行恶意JavaScript代码，窃取Cookie或执行敏感操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- wp:html -->
<figure>
  <!-- Injecting iframe with onload event handler -->
  <iframe src="data:text/html,<script>alert('XSS')</script>" onload="alert('Document Cookie: ' + document.cookie)"></iframe>
</figure>
<!-- /wp:html -->

影响范围

BuddyPress 6.2.0

防御指南

临时缓解措施

建议立即升级BuddyPress插件到修复了此漏洞的最新版本。在无法立即升级的情况下，应严格限制具有编辑和审核权限的用户账号数量，并加强对用户提交内容的审核机制，防止含有恶意HTML标签的内容发布。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表