HIGHCVE-2023-7063CVSS 7.2

CVE-2023-7063 WPForms Pro XSS 漏洞：影响版本及修复方法

平台

wordpress

组件

wpforms

修复版本

1.8.6

AI Confidence: highNVDEPSS 1.4%已审阅: 2026年3月

在NVD查看

保存

CVE-2023-7063 描述了 WPForms Pro 插件中存在的存储型跨站脚本 (XSS) 漏洞。该漏洞允许攻击者通过表单提交参数注入恶意脚本，当用户访问受影响页面时，这些脚本将被执行。受影响的版本包括 1.8.5.3 及以下版本。此漏洞可能导致用户会话劫持、数据盗窃等安全问题。该漏洞已在 1.8.5.4 版本中得到修复。

影响与攻击场景

针对 WPForms Pro 插件的 CVE-2023-7063 漏洞属于存储型 XSS 攻击，其攻击场景主要通过恶意表单提交参数实现。由于插件在处理用户输入时缺乏足够的过滤与输出转义机制，未经身份验证的攻击者可以构造包含恶意 JavaScript 脚本的表单数据并提交。一旦这些数据被存储在数据库中，每当管理员或普通用户访问包含这些注入内容的页面时，恶意脚本就会在用户的浏览器上下文中自动执行。受影响的数据和权限风险包括：攻击者可以窃取用户的 Session Cookie 以劫持管理员会话、进行钓鱼攻击以获取敏感凭据、重定向用户至恶意网站，甚至通过劫持后台管理权限来篡改网站内容或植入后门。由于该漏洞允许未经身份验证的攻击者实施攻击，其攻击半径覆盖了所有安装了受影响版本插件的 WordPress 网站，可能导致整个网站管理权限的丧失。

利用背景

根据目前的公开信息，CVE-2023-7063 目前没有被列入 KEV（已知被利用漏洞）列表，且暂无公开的 POC（概念验证）代码报告。尽管目前尚未观察到大规模的活跃利用，但由于该漏洞允许未经身份验证的攻击者实施攻击，其潜在的危险性极高。对于使用 WPForms Pro 的网站管理员而言，仍需保持高度警惕，并在补丁发布后尽快完成更新，以防攻击者利用该漏洞进行自动化扫描和攻击。

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

1.38% (80% 百分位)

CVSS 向量

受影响的软件

组件wpforms

供应商WPForms

影响范围修复版本

* – 1.8.5.31.8.6

弱点分类 (CWE)

CWE-79

时间线

已保留2023-12-21
发布日期2024-01-20
修改日期2025-05-30
EPSS 更新日期2026-04-02

缓解措施和替代方案

修复此漏洞的最有效且唯一的推荐方法是立即将 WPForms Pro 插件升级至 1.8.5.4 或更高版本。由于该漏洞涉及存储型 XSS，在完成升级后，建议管理员检查已有的表单提交记录，清理可能包含异常 HTML 标签或脚本代码的条目，以防止残留的恶意脚本在后续访问中触发。如果由于某些原因无法立即升级，临时的缓解措施包括使用 Web Application Firewall (WAF) 规则来拦截包含常见 XSS 攻击载荷（如 <script> 标签）的 POST 请求，但这仅能作为防御加固，不能替代补丁。升级完成后，应通过检查插件版本号并观察后台管理页面是否出现异常脚本行为来验证修复是否成功。

修复方法

将 WPForms Pro 插件更新到 1.8.5.4 或更高版本。此版本包含存储型跨站脚本 (XSS) 漏洞的修复程序。可以直接从 WordPress 管理面板执行更新。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2023-7063 是什么 — WPForms Pro 中的 Cross-Site Scripting (XSS)？

这是 WPForms Pro 插件中存在的一个由于输入过滤不足导致的存储型 XSS 漏洞。

WPForms Pro 中的 CVE-2023-7063 是否会影响我？

如果您使用的 WPForms Pro 版本等于或低于 1.8.5.3，则可能会受到影响。

如何修复 WPForms Pro 中的 CVE-2023-7063？

请立即将 WPForms Pro 插件升级到 1.8.5.4 或更新版本。

CVE-2023-7063 是否正在被积极利用？

目前没有公开的利用报告或 KEV 记录显示该漏洞正在被大规模利用。

在哪里可以找到 WPForms Pro 关于 CVE-2023-7063 的官方安全通告？

请查阅 NVD 数据库或 WPForms 官方的安全公告。