Wordpress Plugins 跨站脚本漏洞

CNNVD-ID编号	CNNVD-202111-287	CVE编号	CVE-2021-24883
发布时间	2021-11-02	更新时间	2021-11-03
漏洞类型	跨站脚本	漏洞来源	N/A
危险等级	中危	威胁类型	远程
厂商	N/A

漏洞介绍

WordPress是Wordpress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress 插件是WordPress开源的一个应用插件。 Wordpress Plugins 存在跨站脚本漏洞，该漏洞源于 Popup Anything 插件中对用户提供的数据的清理不足。经过身份验证的远程攻击者可以在易受攻击的网站上下文中在用户浏览器中注入和执行任意 HTML 和脚本代码。公开的漏洞允许远程攻击者执行跨站点脚本 (XSS) 攻击。

漏洞补丁

目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页： https://wordpress.org/plugins/popup-anything-on-click/#developers%3Cbr%3E%3C/p%3E%3Cp%3Ehttps://plugins.trac.wordpress.org/changeset/2610975%3Cbr%3E%3C/p%3E