WP Admin UI Customize 是 WordPress 的一款自定义管理界面的插件。
即使禁用 unfilter _ html 功能,WP Admin UI Customize 在 1.5.13 之前的版本中仍然没有正确过滤用户的输入内容。具有 WordPress 站点管理员及以上用户权限的攻击者可通过在登录表单中输入恶意 payload 如(123"onmouseenter=alert (/XSS/)")进行存储型 XSS 攻击,刷新或重新进入页面时触发攻击者控制的恶意 JavaScript 代码。
修复方案
升级 WP Admin UI Customize 到 1.5.13 或更高版本