#exploit title: wordpress插件霓虹灯文本=1.1-存储的跨站点脚本(XSS)
#日期: 2023-11-15
#利用作者: Eren Car
#供应商homepage: https://wwwww.eralion.com/
#软件link: https://downloads.wordpress.org/plugin/neon-text.zip
#类别: Web应用程序
#版本: 1.0
#测试在: Debian/WordPress 6.4.1
#CVE : CVE-2023-5817
#1。描述:
WordPress的霓虹灯文本插件很容易通过插件的Neontext_box短码在1.1及更高版本中通过插件的跨站点脚本进行。
#2。概念证明(POC):
一个。安装和激活插件的1.0版。
b。转到帖子页面并创建新帖子。
c。添加shorcode块并插入以下有效载荷:
[neontext_box] [neontext color=''onmouseover='alert(document.domain)''] test [/neontext] [/neontext_box]
d。保存更改并预览页面。弹出窗口演示漏洞将被执行。
#日期: 2023-11-15
#利用作者: Eren Car
#供应商homepage: https://wwwww.eralion.com/
#软件link: https://downloads.wordpress.org/plugin/neon-text.zip
#类别: Web应用程序
#版本: 1.0
#测试在: Debian/WordPress 6.4.1
#CVE : CVE-2023-5817
#1。描述:
WordPress的霓虹灯文本插件很容易通过插件的Neontext_box短码在1.1及更高版本中通过插件的跨站点脚本进行。
#2。概念证明(POC):
一个。安装和激活插件的1.0版。
b。转到帖子页面并创建新帖子。
c。添加shorcode块并插入以下有效载荷:
[neontext_box] [neontext color=''onmouseover='alert(document.domain)''] test [/neontext] [/neontext_box]
d。保存更改并预览页面。弹出窗口演示漏洞将被执行。