共计 1995 个字符,预计需要花费 5 分钟才能阅读完成。
WordPress 是 WordPress(Wordpress)基金会的一套使用 PHP 语言开发的博客平台。该平台支持在 PHP 和 MySQL 的服务器上架设个人博客网站。
WordPress 插件 Float menu 跨站请求伪造漏洞
WordPress 插件 Float menu 存在跨站请求伪造漏洞,该漏洞源于产品在删除菜单时未对用户 身份进行有效验证。攻击者可利用该漏洞将管理员删除。
CVE ID:CVE-2022-0313
危害级别 : 中
漏洞类型 : 通用型漏洞
影响产品:WordPress Float menu <4.3.1
漏洞解决方案 : 目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
参考:https://nvd.nist.gov/vuln/detail/CVE-2022-0313
WordPress 插件 Buffer Button 跨站脚本漏洞
WordPress 插件 Buffer Button 1.0 之前版本存在跨站脚本漏洞,该漏洞源于插件在 Twitter 用户名中提到文本字段时缺少过滤和转义,目前没有详细的漏洞细节提供。
CVE ID:CVE-2021-25058
危害级别 : 低
漏洞类型 : 通用型漏洞
影响产品:WordPress Buffer Button <1.0
漏洞解决方案 : 目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
参考:https://nvd.nist.gov/vuln/detail/CVE-2021-25058
WordPress 插件 Five Star Business Profile and Schema 跨站脚本漏洞
WordPress 插件 Five Star Business Profile and Schema 2.1.7 之前版本存在跨站脚本漏洞,该漏洞源于插件在其 bpfwp_welcome_add_contact_page 和 bpfwp_welcome_set_contact_information AJAX 操作中没有任何授权和跨站请求伪造 token 校验,允许任何经过身份验证的用户(如订阅者)调用它们。此外,由于缺乏过滤和转义,还会导致存储跨站点脚本问题。目前没有详细的漏洞细节提供。
CVE ID:CVE-2021-25060
危害级别 : 低
漏洞类型 : 通用型漏洞
影响产品:WordPress Five Star Business Profile and Schema <2.1.7
漏洞解决方案 : 目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
参考:https://nvd.nist.gov/vuln/detail/CVE-2021-25060
WordPress 插件 Download Manager SQL 注入漏洞
WordPress 插件 Download Manager 3.2.34 之前版本存在 SQL 注入漏洞,该漏洞源于插件在 SQL 语句中使用 package_ids 参数之前没有对其进行清理和转义,攻击者可利用漏洞导致了 SQL 注入,这也可能被利用来导致反射型跨站脚本问题。
CVE ID:CVE-2021-25069
危害级别 : 中
漏洞类型 : 通用型漏洞
影响产品:WordPress Download Manager <3.2.34
漏洞解决方案 : 目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
参考:https://nvd.nist.gov/vuln/detail/CVE-2021-25069
WordPress 插件 Duplicate Page or Post 跨站脚本漏洞
WordPress 插件 Duplicate Page or Post 存在安全漏洞,该漏洞源于插件没有 CSRF 检查,攻击者可利用该漏洞执行跨站脚本攻击。
CVE ID:CVE-2021-25075
危害级别 : 低
漏洞类型 : 通用型漏洞
影响产品:WordPress Duplicate Page or Post <1.5.1
漏洞解决方案 : 目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
参考:https://nvd.nist.gov/vuln/detail/CVE-2021-25075
WordPress 插件 Popup Builder 路径遍历漏洞
WordPress 插件 Popup Builder 存在路径遍历漏洞,该漏洞源于插件在在 require 语句中使用 sgpb 类型参数之前并没有进行验证和清理,攻击者可利用该漏洞执行远程代码。
CVE ID:CVE-2021-25082
危害级别 : 中
漏洞类型 : 通用型漏洞
影响产品:WordPress Popup Builder <4.0.7
漏洞解决方案 : 目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
参考:https://nvd.nist.gov/vuln/detail/CVE-2021-25082
点个关注:
发布结果公告信息之前,我们决定声明力争保证每条公告的和建议。同时,采纳和实施公告中的则完全由用户自己决定,可能出现的问题也完全由用户承担。采纳您的建议,您提出您的个人或企业的决策,您应考虑其或个人或您的企业的策略和流程。