WordPress Plugin Float menu 跨站脚本漏洞(CVE-2023-2362)

CVE编号

CVE-2023-2362

利用情况

暂无

补丁情况

N/A

披露时间

2023-06-13

漏洞描述

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。WordPress Plugin Float menu 5.0.2 之前版本，Bubble Menu 3.0.4 之前版本，Button Generator 2.3.5 之前版本，Calculator Builder 1.5.1 之前版本，Counter Box 1.2.2 之前版本，Floating Button 5.3.1 之前版本，Herd Effects WordPress 5.2.2 之前版本，Popup Box WordPress 2.2.2 之前版本，Side Menu Lite WordPress 4.0.2 之前版本，Sticky Buttons WordPress 3.1.1 之前版本，Wow Skype Buttons WordPress 4.0 之前版本，WP Coder 2.5.6 之前版本存在跨站脚本漏洞，该漏洞源于插件不会对页面参数进行转义，攻击者利用该漏洞可以将恶意脚本注入web网站。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://wpscan.com/vulnerability/27e70507-fd68-4915-88cf-0b96ed55208e

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	wow-company	bubble_menu	*		Up to (excluding) 3.0.4
	运行在以下环境
	应用	wow-company	button_generator	*		Up to (excluding) 2.3.5
	运行在以下环境
	应用	wow-company	calculator-builder	*		Up to (excluding) 1.5.1
	运行在以下环境
	应用	wow-company	counter_box	*		Up to (excluding) 1.2.2
	运行在以下环境
	应用	wow-company	floating_button	*		Up to (excluding) 5.3.1
	运行在以下环境
	应用	wow-company	float_menu	*		Up to (excluding) 5.0.2
	运行在以下环境
	应用	wow-company	herd_effects	*		Up to (excluding) 5.2.2
	运行在以下环境
	应用	wow-company	popup_box	*		Up to (excluding) 2.2.2
	运行在以下环境
	应用	wow-company	side_menu_lite	*		Up to (excluding) 4.0.2
	运行在以下环境
	应用	wow-company	sticky_buttons	*		Up to (excluding) 3.1.1
	运行在以下环境
	应用	wow-company	wow_skype_buttons	*		Up to (excluding) 4.0.2
	运行在以下环境
	应用	wow-company	wp_coder	*		Up to (excluding) 2.5.6

CVSS3评分 6.1

• 攻击路径 网络
• 攻击复杂度 低
• 权限要求 无
• 影响范围 已更改
• 用户交互 需要
• 可用性 无
• 保密性 低
• 完整性 低

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

CWE-ID	漏洞类型
CWE-79	在Web页面生成时对输入的转义处理不恰当（跨站脚本）

Exp相关链接

- avd.aliyun.com