CVE-2021-47910 AccessPress插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2021-47910

漏洞类型

存储型跨站脚本

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

AccessPress Social Icons

漏洞概述

该漏洞存在于AccessPress Social Icons插件1.8.2版本中。由于缺乏输入过滤，经过身份验证的攻击者可以在“图标标题”字段中注入恶意JavaScript脚本。当管理员或其他用户访问插件页面时，这些存储的XSS载荷将被触发并执行，可能导致会话劫持或恶意操作。

技术细节

该漏洞属于存储型XSS。插件在处理社交媒体图标配置时，未对“icon title”参数进行充分的输出转义或输入验证。攻击者利用低权限账户登录后台，构造包含恶意事件处理器（如onerror）的HTML标签（如img）作为标题提交。数据被存储在数据库中，当其他用户加载插件管理页面时，后端直接输出未经过滤的标题内容，导致浏览器解析并执行恶意脚本。

攻击链分析

STEP 1

步骤1：侦察

攻击者确认目标网站使用了存在漏洞的AccessPress Social Icons插件。

STEP 2

步骤2：获取权限

攻击者获取目标WordPress站点的低权限账户凭据（如订阅者或编辑者）。

STEP 3

步骤3：注入载荷

攻击者登录后台，在插件设置的“图标标题”字段中输入包含JavaScript的恶意Payload（如<img>标签）。

STEP 4

步骤4：触发执行

当管理员或其他用户访问插件管理页面时，恶意脚本被浏览器解析并执行，窃取Cookie或进行进一步攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!--
PoC for CVE-2021-47910
Inject the following payload into the 'icon title' field:
-->
<img src=x onerror=alert('CVE-2021-47910')>

影响范围

AccessPress Social Icons 1.8.2

防御指南

临时缓解措施

建议立即更新插件至修复版本。在无法立即更新时，应暂时禁用该插件，并仅允许受信任的管理员访问相关设置页面，同时检查已存在的图标配置中是否包含异常代码。