WordPress的User Submitted Posts插件在20230811版本及之前的版本中存在存储型跨站脚本攻击(Stored Cross-Site Scripting)的安全漏洞。这个漏洞是由于插件的[usp_gallery]短代码在处理用户提供的属性(如’before’)时,输入清理和输出转义不足所导致的。这使得具有投稿者级别及以上权限的经过身份验证的攻击者能够在页面中注入任意Web脚本,当用户访问被注入的页面时,这些脚本将会执行。
该漏洞的严重性评分为5.4(中等级别),向量字符串为CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N。这意味着攻击可以在网络上进行,攻击复杂性低,需要低权限,需要用户交互,影响范围为改变了受影响组件的授权范围和或完整性,对机密性和完整性的影响为低,对可用性无影响。
如果你正在使用这个插件,并且版本在20230811及之前,建议尽快更新到最新版本以防止受到此类攻击。安全总是需要我们时刻保持警惕。
- 插件地址:https://wordpress.org/plugins/user-submitted-posts/
- 作者官网:https://plugin-planet.com/wordpress-plugins/
声明:1、本站大部分资源均为网络采集所得,仅供用来学习研究,请于下载后的24h内自行删除,正式商用请购买正版。2、所有汉化类文件和个别标注了“原创”的产品均为本站原创发布,任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。3、如若本站内容侵犯了原著者的合法权益,请携带相关版权文件联系我们进行下架或删除。4、虚拟下载类资源具有可复制性,一经下载后本站有权拒绝退款或更换其他商品!
评论0