漏洞关键信息总结 1. 漏洞概述 CVE编号: CVE-2024-13431 漏洞类型: 反射型跨站脚本攻击 (Reflected XSS) CVSS评分: 6.1 (Medium) 描述: 在 WordPress 插件 "Appointment Booking Calendar — Simply Schedule Appointments" 中, 端点的 和 参数缺乏适当的输入验证。攻击者可以注入恶意 JavaScript 代码,导致在受害者浏览器中执行。 2. 影响范围 插件名称: Appointment Booking Calendar — Simply Schedule Appointments Booking Plugin 受影响版本: <= 1.6.8.3 3. 概念验证 (POC) 4. 修复方案 在版本 1.6.8.5 中,开发者实现了一个新的净化函数 。该函数使用更严格的正则表达式来验证颜色值(十六进制或 RGBA),如果输入无效则返回 ,从而防止恶意代码注入。 5. 关键代码片段 漏洞代码 (class-styles.php 中的 函数): 修复代码 (新增的 函数): 修复后的调用逻辑: