WordPress Plugin Videos sync PDF 1.7.4 - 存储型跨站脚本 (XSS) 漏洞概述 该漏洞存在于 WordPress 插件 "Videos sync PDF" 1.7.4 版本中。由于插件未正确转义 PDF 和 WebP 图像的参数,导致攻击者可以注入恶意脚本。当用户访问包含恶意脚本的页面时,脚本将在浏览器中执行。 影响范围 受影响软件: WordPress Plugin Videos sync PDF 受影响版本: 1.7.4 漏洞类型: 存储型跨站脚本 (Stored XSS) 平台: PHP 发布日期: 2022-04-19 EDB-ID: 50874 修复方案 建议: 升级至最新版本或联系插件供应商获取修复补丁。 官方链接: https://downloads.wordpress.org/plugin/video-syncro-pdf.1.7.4.zip POC代码 ```python Exploit Title: WordPress Plugin Videos sync PDF 1.7.4 - Stored Cross Site Scripting (XSS) Google Dork: inurl:/wp-content/plugins/video-syncro-pdf/ Date: 2022-04-13 Exploit Author: UnD3sc0n0c1d9 Vendor Homepage: http://www.a-j-evolution.com/ Software Link: https://downloads.wordpress.org/plugin/video-syncro-pdf.1.7.4.zip Category: Web Application Version: 1.7.4 Tested on: CentOS / WordPress 5.9.3 CVE : N/A 1. Technical Description: The plugin does not properly sanitize the pdf and webp image parameters allowing