2023 年 5 月 5日，网站安全公司Patchstack 披露了一枚高危反映跨站点脚本 XSS 漏洞（ CVE-2023-30777）。成功利用该漏洞，未经身份验证的攻击者可以窃取敏感信息并提升他们在受影响的 WordPress 网站上的权限。

和该漏洞一起披露的，还有概念验证 (PoC) 。有趣的是，Akamai 安全情报小组 (SIG) 发布报告称，在概念验证 (PoC) 漏洞公开后大约 24 小时，他们就监测到，有黑客正在积极利用 Patchstack 的文章中提供的示例代码观察到大量扫描和利用活动。

XSS 漏洞

CVE-2023-30777 漏洞源于“admin_body_class”函数处理程序，该函数处理程序未能正确清理钩子的输出值，该钩子控制和过滤 WordPress 管理区域中主体标签的 CSS 类（设计和布局）网站。

‘admin_body_class’ 函数 (Patchstack)
攻击者可以利用插件代码上的不安全直接代码串联，特别是“$this→view”变量，在其组件中添加有害代码（DOM XSS 有效负载），这些代码将传递给最终产品，一个类字符串。插件使用的清理功能“sanitize_text_field”不会阻止攻击，因为它不会捕获恶意代码注入。

通过“current_screen”函数 （Patchstack）访问“this->view”变量开发人员通过实施名为“ esc_attr ”的新函数修复了 6.1.6 版中的缺陷，该函数正确清理了 admin_body_class 挂钩的输出值，从而防止了 XSS。