CVE-2021-47948 CVSS 5.4 中危

CVE-2021-47948 WordPress GetPaid插件HTML注入漏洞

披露日期: 2026-05-10

来源: [email protected]

漏洞信息

漏洞编号

CVE-2021-47948

漏洞类型

HTML注入

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

WordPress GetPaid Plugin

漏洞概述

WordPress GetPaid Plugin 2.4.6版本存在HTML注入漏洞。由于插件在处理支付表单配置时，未对“Help Text”字段进行充分的输入验证和过滤，拥有低权限的已认证攻击者可以利用该漏洞注入任意HTML代码。这些恶意代码（包括图片标签和脚本）会被存储在数据库中，并在用户查看支付表单时在浏览器中执行，可能导致信息泄露或会话劫持。

技术细节

该漏洞的原理在于服务器端对用户输入的“Help Text”字段内容缺乏转义处理。攻击者首先需要获取WordPress网站的低权限账户（如订阅者或编辑者）。登录后台后，攻击者进入支付表单创建或编辑页面，在Help Text字段中注入恶意Payload，例如`<img src=x onerror=alert(1)>`或`<script>malicious_code</script>`。当表单被提交保存时，后端直接将原始数据存入数据库。当其他用户或管理员访问该支付表单页面时，服务器会读取该字段并渲染到前端页面，触发浏览器解析并执行其中的恶意脚本。由于CVSS向量显示Scope Changed (S:C)，该漏洞可能突破同源策略限制。

攻击链分析

STEP 1

1. 获取权限

攻击者注册或获取WordPress网站的低权限账户。

STEP 2

2. 构造Payload

攻击者编写包含恶意HTML或JavaScript脚本的代码片段。

STEP 3

3. 注入Payload

攻击者在创建或编辑支付表单时，将Payload填入“Help Text”字段并保存。

STEP 4

4. 触发漏洞

当普通用户或管理员访问被篡改的支付表单页面时，恶意代码在浏览器中执行。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC: Inject HTML/JS via Help Text field -->
<!-- Payload to be entered in the Help Text input -->
<script>alert('CVE-2021-47948 - Stored HTML Injection');</script>
<!-- Alternatively, an image tag to trigger execution -->
<img src=x onerror=alert('XSS')>

影响范围

WordPress GetPaid Plugin <= 2.4.6

防御指南

临时缓解措施

在未升级插件之前，建议管理员限制用户对支付表单的编辑权限，并检查现有表单中是否存在异常的Help Text内容。同时，部署Web应用防火墙（WAF）以拦截包含恶意脚本标签的请求。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表