WordPress XSS漏洞

 漏洞資訊     |      2021-11-23

一、   漏洞描述

在安裝了 Elementor 的站點(diǎn)上,具有該 edit_posts 功能的攻擊者可以在他們控制的服務(wù)器上制作和托管一個(gè)包含惡意 JavaScript 的塊,然后通過(guò)發(fā)送 AJAX 請(qǐng)求并將操作設(shè)置為 astra-page-elementor-batch-process 并且 url 參數(shù)指向他們遠(yuǎn)程托管的惡意塊,從而使用它來(lái)覆蓋任何帖子或頁(yè)面,以及包含要覆蓋的帖子或頁(yè)面的 id 參數(shù)。

二、   漏洞詳情

CVE-2021-42360  : WordPress XSS漏洞

CVE: CVE-2021-42360  

組件:  astra-sites

漏洞類型: 代碼問(wèn)題

影響: 可覆蓋任何帖子、頁(yè)面

簡(jiǎn)述: 見(jiàn)漏洞描述

三、   影響版本


影響產(chǎn)品或系統(tǒng)版本

安全版本

astra-sites

astra-sites <= 2.7.0

最新版本

四、   安全版本

見(jiàn)三

五、  安全建議

通用修補(bǔ)建議:

廠商已發(fā)布升級(jí),用戶請(qǐng)盡快升級(jí)

   補(bǔ)丁信息:

補(bǔ)丁名稱:WordPress XSS漏洞補(bǔ)丁

補(bǔ)丁鏈接:https://www.wordfence.com/vulnerability-advisories/#CVE-2021-42360