WordPress安全公司Defiant报告称，Contact Form 7 Datepicker WordPress插件中存储的跨站点脚本（XSS）漏洞将不会收到补丁，使网站容易受到攻击。

发现此漏洞时，该插件旨在与Contact Form 7联系人表单管理插件集成，已安装了100,000多个安装。经过身份验证的XSS错误被认为是高严重性。

但是，该插件已不再维护，这意味着该漏洞不会收到补丁，并且所有安装仍会受到影响。

WordPress插件团队已从存储库中删除了联系表7 Datepicker，以进行审核。通过Defiant的联系，开发人员确认他们没有维护该应用程序的计划。活动表超过500万的联系表7不受影响。

Contact Form 7 Datepicker旨在帮助用户向Contact Form 7生成的表单添加日期选择器，并且还具有修改这些日期选择器设置的功能。

发现的漏洞位于AJAX动作中，该动作调用插件用来执行其功能的功能，而该功能缺少功能检查或随机数检查。

“这样，具有最小权限的登录攻击者（例如订户）就有可能发送包含恶意java script的精心设计的请求，该请求将存储在插件的设置中，” Defiant解释说。

当授权用户创建或修改联系表单时，这将导致在浏览器中执行存储的java script代码。攻击者可能滥用此方法来窃取管理员的会话或添加自己的管理帐户。

建议站点管理员停用并删除Contact Form 7 Datepicker插件，并找到可以提供类似功能的替代插件。

由于大量受影响的网站，Defiant禁止发布有关发现的漏洞的详细信息。