[随波逐流]CTF Flags

随波逐流信息安全网 www.1o1o.xyz

   [随波逐流]CTF Flags

软件版本:v1.0.0   数据版本: v20260526
返    回

wordpress 存储型XSS ( CVE-2018-13137 )

 广告模块
ID: 16504
标题: wordpress 存储型XSS ( CVE-2018-13137 )
描述: wordpress 存储型XSS ( CVE-2018-13137 ) vulfocus/wordpress_cve_2018_13137:latest WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站。 WordPress 的事件管理器插件 5.9.4 通过 wp-admin/edit.php?post_type=event&page=events-manager-options URI 的 dbem_event_reapproved_email_body 参数具有 XSS。
类型: WEB
网站: vulfocus
题目链接: https://vulfocus.cn
赛事: None
年度: None
Flag值: WordPress <= 4.6.1 版本中,通过上传恶意构造的主题文件,可以在管理员后台触发存储型XSS漏洞,攻击者可利用此漏洞获取管理员Cookie等信息 1。该漏洞的利用方式是修改主题文件夹名称和其style.css文件中的Theme Name字段,例如将其改为<svg onload=alert(1234)>,然后打包成ZIP文件上传 1。上传后,恶意代码会在主题安装成功页面的“Live Preview”或“Activate”链接中触发 1。
writeup: https://cloud.tencent.com/developer/article/1078453?policyId=1004
答案错误,我要更正