WordPress GetPaid Plugin 2.4.6 HTML Injection via Help Text 漏洞概述 WordPress GetPaid Plugin 2.4.6 包含一个 HTML 注入漏洞,允许经过身份验证的攻击者通过利用支付表单中的“帮助文本”(Help Text)字段注入任意 HTML 代码。攻击者可以注入恶意 HTML,包括图像标签和脚本,这些内容在表单创建时被存储到数据库中,并在浏览器中查看表单时执行。 影响范围 受影响软件: WordPress GetPaid Plugin 受影响版本: <= 2.4.6 严重程度: Medium CVSS v4 向量: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:R/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N 修复方案 参考链接: ExploitDB-50246 产品参考: VulnCheck Product Reference 描述 WordPress GetPaid Plugin 2.4.6 包含一个 HTML 注入漏洞,允许经过身份验证的攻击者通过利用支付表单中的“帮助文本”字段注入任意 HTML 代码。攻击者可以注入恶意 HTML,包括图像标签和脚本,这些内容在表单创建时被存储到数据库中,并在浏览器中查看表单时执行。 其他信息 发布日期: 5/10/2026 CVE 编号: CVE-80 漏洞描述: Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) 贡献者: Niraj Mahajan