一、 漏洞描述
在安裝了 Elementor 的站點上,具有該 edit_posts 功能的攻擊者可以在他們控制的服務(wù)器上制作和托管一個包含惡意 JavaScript 的塊,然后通過發(fā)送 AJAX 請求并將操作設(shè)置為 astra-page-elementor-batch-process 并且 url 參數(shù)指向他們遠(yuǎn)程托管的惡意塊,從而使用它來覆蓋任何帖子或頁面,以及包含要覆蓋的帖子或頁面的 id 參數(shù)。
二、 漏洞詳情
CVE-2021-42360 : WordPress XSS漏洞
CVE: CVE-2021-42360
組件: astra-sites
漏洞類型: 代碼問題
影響: 可覆蓋任何帖子、頁面
簡述: 見漏洞描述
三、 影響版本
影響產(chǎn)品或系統(tǒng)版本 | 安全版本 | |
astra-sites | astra-sites <= 2.7.0 | 最新版本 |
四、 安全版本
見三
五、 安全建議
通用修補建議:
廠商已發(fā)布升級,用戶請盡快升級
補丁信息:
補丁名稱:WordPress XSS漏洞補丁
補丁鏈接:https://www.wordfence.com/vulnerability-advisories/#CVE-2021-42360