WordPress 插件 IP2Location Country Blocker 2.26.7 存储型跨站脚本漏洞 (XSS) 漏洞概述 该漏洞存在于 WordPress 插件 IP2Location Country Blocker 的 2.26.7 版本中。这是一个已认证的存储型跨站脚本 (Stored XSS) 漏洞。 影响范围 受影响软件: WordPress Plugin IP2Location Country Blocker 受影响版本: 2.26.7 漏洞类型: Stored Cross Site Scripting (XSS) 认证要求: 需要认证 (Authenticated) 测试环境: Linux 修复方案 状态: 页面未提供具体的补丁版本或修复代码。 建议: 建议用户升级该插件至修复了此漏洞的最新版本。 利用代码 (POC) 根据页面描述,攻击者需要在插件的 "Other Settings" 区域的 "URL" 输入框中注入以下 Payload: 利用步骤:** 1. 检查 "Enable Frontend Blocking" 选项。 2. 选择 "Display page when visitor is blocked" 选项中的 "URL" 选项。 3. 将上述 Payload 输入到 "URL" 输入框中。 4. 点击 "Save Changes" 按钮。 5. 当任何已认证用户访问设置页面时,XSS 将被触发。