免费扫描
MEDIUMCVE-2020-37225CVSS 6.4

CVE-2020-37225: XSS in Powie's WHOIS Domain Check

平台

wordpress

组件

whois-domain-check

在NVD查看
保存

CVE-2020-37225 描述了 Powie's WHOIS Domain Check 0.9.31–0.9.31 版本中存在的跨站脚本攻击 (XSS) 漏洞。攻击者可以利用此漏洞在插件设置中注入恶意 JavaScript 代码,从而可能导致权限提升。该漏洞影响到使用 Powie's WHOIS Domain Check 插件的 WordPress 网站管理员。建议尽快更新插件以修复此安全问题。

WordPress

检测此 CVE 是否影响你的项目

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描

影响与攻击场景

该 XSS 漏洞允许经过身份验证的攻击者通过在 pwhois_settings.php 配置页面中的文本区域和输入元素中提交恶意有效载荷来注入任意 JavaScript 代码。攻击者可以利用此漏洞执行 JavaScript 代码在管理员上下文中运行,从而窃取敏感信息,例如管理员凭据、会话 Cookie 或其他机密数据。此外,攻击者还可以利用此漏洞劫持用户会话、重定向用户到恶意网站或执行其他恶意操作,从而对网站和用户造成严重危害。由于该漏洞存在于插件设置中,攻击者可能需要先获得对 WordPress 网站的访问权限,然后才能利用此漏洞。

利用背景

该漏洞已于 2026-05-13 公布。目前尚无公开的利用程序 (POC),但由于 XSS 漏洞的普遍性,存在被利用的风险。该漏洞的概率评估级别为中等。建议密切关注安全社区的动态,以获取有关此漏洞的最新信息。

威胁情报

漏洞利用状态

概念验证未知
CISA KEVNO
互联网暴露

CISA SSVC

利用情况poc
可自动化no
技术影响partial

CVSS 向量

威胁情报· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N6.4MEDIUMAttack VectorNetwork攻击者如何到达目标Attack ComplexityLow利用漏洞所需的条件Privileges RequiredLow攻击所需的认证级别User InteractionNone是否需要受害者采取行动ScopeChanged超出受影响组件的影响范围ConfidentialityLow敏感数据泄露风险IntegrityLow数据未授权篡改风险AvailabilityNone服务中断风险nextguardhq.com · CVSS v3.1 基础分数
这些指标意味着什么?
Attack Vector
网络 — 可通过互联网远程利用,无需物理或本地访问。攻击面最大。
Attack Complexity
低 — 无需特殊条件,可以稳定地利用漏洞。
Privileges Required
低 — 任何有效用户账户均可。
User Interaction
无 — 攻击自动且无声,受害者无需任何操作。
Scope
已改变 — 攻击可以超出脆弱组件,影响其他系统。
Confidentiality
低 — 可访问部分数据。
Integrity
低 — 攻击者可修改部分数据,影响有限。
Availability
无 — 无可用性影响。

受影响的软件

组件whois-domain-check
供应商Powie
最低版本0.9.31
最高版本0.9.31

弱点分类 (CWE)

CWE-79

时间线

  1. 已保留
  2. 发布日期

缓解措施和替代方案

目前,官方已知的修复方法是升级到修复后的版本。由于没有提供修复版本,建议采取以下缓解措施:首先,限制对 pwhois_settings.php 配置页面的访问,仅允许授权管理员访问。其次,实施严格的输入验证和输出编码,以防止恶意 JavaScript 代码注入。可以使用 Web 应用防火墙 (WAF) 或代理服务器来过滤恶意请求。最后,定期扫描 WordPress 网站,以检测潜在的 XSS 漏洞。

修复方法翻译中…

Actualice el plugin Powie's WHOIS Domain Check a la última versión disponible para mitigar la vulnerabilidad de XSS.  Verifique la página de soporte del plugin o el repositorio de WordPress para obtener la versión más reciente y las instrucciones de actualización.  Además, revise y sanee cualquier entrada de usuario en la configuración del plugin para prevenir futuras vulnerabilidades.

常见问题

什么是 CVE-2020-37225 — XSS 漏洞在 Powie's WHOIS Domain Check 中?

CVE-2020-37225 是 Powie's WHOIS Domain Check 0.9.31–0.9.31 版本中发现的跨站脚本攻击 (XSS) 漏洞,允许攻击者注入恶意 JavaScript 代码,危害管理员权限。

我是否受到 CVE-2020-37225 在 Powie's WHOIS Domain Check 中影响?

如果您正在使用 Powie's WHOIS Domain Check 0.9.31–0.9.31 版本,则可能受到此漏洞的影响。请立即检查您的插件版本并采取缓解措施。

如何修复 CVE-2020-37225 在 Powie's WHOIS Domain Check 中?

目前官方建议升级到修复后的版本。由于没有提供修复版本,建议采取缓解措施,例如限制访问、输入验证和使用 WAF。

CVE-2020-37225 是否正在被积极利用?

虽然目前没有公开的利用程序,但由于 XSS 漏洞的普遍性,存在被利用的风险。建议密切关注安全社区的动态。

在哪里可以找到 Powie's WHOIS Domain Check 中 CVE-2020-37225 的官方公告?

请查阅相关的安全公告和 WordPress 插件更新日志,以获取有关此漏洞的最新信息。

你的项目受影响吗?

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描搜索 CVE
WordPress

检测此 CVE 是否影响你的项目

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描
live免费扫描

立即扫描您的WordPress项目 — 无需账户

上传任何清单文件 (composer.lock, package-lock.json, WordPress 插件列表…) 或粘贴您的组件列表。您立即获得一份漏洞报告。上传文件只是开始:拥有账户后,您将获得持续监控、Slack/电子邮件警报、多项目和白标报告。

手动扫描Slack/邮件提醒持续监控白标报告

拖放您的依赖文件

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...