漏洞概述 漏洞名称: WP reCaptcha by WebDesignBy < 2.0 – Admin+ Stored XSS 漏洞类型: 跨站脚本攻击 (XSS) 描述: 该插件在输出 Site Key 设置时未进行适当的清理或转义,导致管理员可以在多站点安装中注入任意 JavaScript 代码,这些代码会在所有访问 WordPress 登录页面的用户上执行。 影响范围 受影响插件: WP reCaptcha by WebDesignBy 受影响版本: < 2.0 影响用户: 所有访问 WordPress 登录页面的用户 修复方案 修复建议: 插件开发者需要对 Site Key 设置进行适当的清理和转义,以防止 XSS 攻击。 当前状态: 漏洞已公开,建议用户尽快更新插件至最新版本。 概念验证 (POC) 分类信息 OWASP Top 10: A7: Cross-Site Scripting (XSS) CWE: CWE-79 CVSS: 3.5 (low) 其他信息 原始研究员: Mustafa Ahmed 提交者: Mustafa Ahmed 提交者网站: https://fortressmssp.com 验证状态: Yes WPVDB ID: 6dfb4378-fe8a-4462-af10-8e7504e3d593 发布时间: 2026-04-02