Elementor PRO 的必备插件 – 最佳 Elementor 模板、小部件、套件和 WooCommerce 构建器 <= 5.8.14 - 通过团队成员轮播小部件进行身份验证 (Contributor+) 存储的跨站点脚本 (CVE-2024-5086)
CVE编号
CVE-2024-5086利用情况
暂无补丁情况
N/A披露时间
2024-05-29漏洞描述
WordPress插件The Essential Addons for Elementor PRO中的Team Member Carousel小部件存在存储型跨站脚本漏洞,导致所有Pro版本(包括5.8.14版本)中的用户输入属性缺乏充分的输入消毒和输出转义。这使得经过身份验证的攻击者(权限等级为贡献者及以上)可以在注入的页面上注入任意的Web脚本,每当用户访问注入的页面时,这些脚本将被执行。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://essential-addons.com/changelog/ | |
| https://www.wordfence.com/threat-intel/vulnerabilities/id/f7773b98-537f-4f4e-... |
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 低
- 影响范围 已更改
- 用户交互 无
- 可用性 无
- 保密性 低
- 完整性 低
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论