WordPress XSS漏洞

 漏洞資訊     |      2021-11-23

一、   漏洞描述

在安裝了 Elementor 的站點上,具有該 edit_posts 功能的攻擊者可以在他們控制的服務(wù)器上制作和托管一個包含惡意 JavaScript 的塊,然后通過發(fā)送 AJAX 請求并將操作設(shè)置為 astra-page-elementor-batch-process 并且 url 參數(shù)指向他們遠(yuǎn)程托管的惡意塊,從而使用它來覆蓋任何帖子或頁面,以及包含要覆蓋的帖子或頁面的 id 參數(shù)。

二、   漏洞詳情

CVE-2021-42360  : WordPress XSS漏洞

CVE: CVE-2021-42360  

組件:  astra-sites

漏洞類型: 代碼問題

影響: 可覆蓋任何帖子、頁面

簡述: 見漏洞描述

三、   影響版本


影響產(chǎn)品或系統(tǒng)版本

安全版本

astra-sites

astra-sites <= 2.7.0

最新版本

四、   安全版本

見三

五、  安全建議

通用修補建議:

廠商已發(fā)布升級,用戶請盡快升級

   補丁信息:

補丁名稱:WordPress XSS漏洞補丁

補丁鏈接:https://www.wordfence.com/vulnerability-advisories/#CVE-2021-42360