AutomatorWP <= 5.0.9 - 通过 a-0-o-search_field_value 参数实现的反射型跨站脚本攻击 (Reflected Cross-Site Scripting)

攻击者可以利用此 XSS 漏洞在受影响的 WordPress 网站上执行任意 JavaScript 代码。这可能导致攻击者窃取用户会话 cookie、重定向用户到恶意网站、篡改网站内容或执行其他恶意操作。由于 AutomatorWP 插件通常用于自动化任务和集成，因此该漏洞的潜在影响非常大，可能导致敏感数据泄露和系统被控制。攻击者可以通过精心构造的 URL 或表单提交来诱骗用户点击恶意链接或提交包含恶意脚本的表单。

Websites using the AutomatorWP plugin, particularly those with user accounts or sensitive data, are at risk. Shared hosting environments where multiple WordPress sites share the same server are also at increased risk, as a compromise of one site could potentially lead to the compromise of others. Users who rely on the plugin's import and code action features are especially vulnerable.

• wordpress / composer / npm:

grep -r 'a-0-o-search_field_value' /var/www/html/wp-content/plugins/automatorwp/

• generic web:

curl -I 'https://your-wordpress-site.com/?a-0-o-search_field_value=<script>alert("XSS")</script>' | grep -i 'script'

1. 2024-12-19Disclosure

   disclosure

1. 已保留2024-12-13
2. 发布日期2024-12-19
3. 修改日期2024-12-20
4. EPSS 更新日期2026-04-02

最有效的缓解措施是立即将 AutomatorWP 插件升级到最新版本，该版本已修复此漏洞。如果无法立即升级，可以考虑以下临时缓解措施：使用 Web 应用防火墙 (WAF) 过滤包含恶意脚本的请求；实施严格的输入验证和输出转义规则；限制 AutomatorWP 插件的权限和功能；监控 AutomatorWP 插件的日志文件，查找可疑活动。升级后，请确认漏洞已修复，例如通过测试输入 ‘a-0-o-searchfieldvalue’ 参数，确保没有恶意脚本被执行。

活跃安装数

8K小众

插件评分

4.8

需要WordPress版本

4.4+

兼容至

7.0

需要PHP版本

7.0+