好的,我现在需要帮用户总结一篇文章的内容,控制在100字以内,并且不需要特定的开头。首先,我得仔细阅读用户提供的查询内容,理解文章的主题。 这篇文章讲的是WordPress插件“Easy Hide Login”中的一个基于DOM的跨站脚本(XSS)漏洞。漏洞允许经过身份验证的管理员通过未正确清理的href属性注入任意JavaScript代码。攻击向量是本地的,CVSS评分为3.1,属于低风险。 接下来,我需要提取关键信息:插件名称、漏洞类型、影响对象(管理员)、攻击方式、CVSS评分以及漏洞的位置(settings中的href属性)。 然后,我要把这些信息浓缩成一句话,确保不超过100字。同时,避免使用“文章内容总结”这样的开头,直接描述内容。 可能的结构是:插件名称 + 漏洞类型 + 影响对象 + 攻击方式 + 漏洞位置 + CVSS评分。这样既全面又简洁。 最后,检查字数是否符合要求,并确保语句通顺自然。 </think> WordPress插件"Easy Hide Login"存在基于DOM的XSS漏洞,允许管理员通过未正确清理的href属性注入JavaScript代码,影响插件设置页面。 2025-12-28 10:40:31 Author: cxsecurity.com(查看原文) 阅读量:2 收藏
## Description DOM-based Cross-Site Scripting vulnerability in [Easy Hide Login] WordPress plugin allows authenticated administrators to inject arbitrary JavaScript code via improperly sanitized href attribute in plugin settings. ## Vulnerability Details - Type: DOM-based Cross-Site Scripting (Self) - Privilege Required: Administrator - Attack Vector: Local - CVSS Score: 3.1 (Low) - CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:N/A:N ## Proof of Concept ### Steps to Reproduce: 1. Login to WordPress as Administrator 2. Navigate to the plugin settings page 3. Locate the input field with ID `login_slug` 4. Inject the following payload: "><script>alert("xss"); or <h1>html injection</h1> **Vulnerable Code Structure:** ```html <a id="login_url" href="http://localhost?">http://localhost?</a> <input type="text" id="login_slug" name="slug">
如有侵权请联系:admin#unsafe.sh