1、产品描述：

WonderCMS是一套基于PHP的开源内容管理系统（CMS）。 WonderCMS v3.3.4版本存在安全漏洞。攻击者利用该漏洞执行任意web脚本或HTML。

2、影响产品或组件及版本：WonderCMS 3.3.4受该漏洞影响

3、受影响资产情况：通过资产测绘系统zoomeye、fofa、shadon，暂无发现受影响的WonderCMS

4、技术细节表述：

该漏洞源于过滤不严格导致，攻击者可通过发送特制的URL，引诱用户打开触发XSS代码，成功利用漏洞后可在目标系统执行Javascript代码，盗取用户身份凭证。

5、修补措施：

每个提交信息的客户端页面，通过服务器端脚本（jsP、ASP、ASPX、PHP等脚本）生成的客户端页面，提交的表单（FORM）或发出的连接请求中包含的所有变量，必须对变量的值进行检查。过滤其中包含的特殊字符，或对字符进行转义处理。特殊字符包括：

HTML标签的

客户端脚本（Javascript、VBScript）关键字：Javascript、script等；

此外，对于信息搜索功能，不应在搜索结果页面中回显搜索内容。同时应设置出错页面，防止Web服务器发生内部错误时，错误信息返回给客户端。

6、漏洞来源：https://github.com/maikroservice/CVE-2022-43332