【資安通報】

風險等級(滿分為10分): 6.4

受影響版本: <= 5.9.14

簡述:
該漏洞是通過小工具的 URL 屬性進行存儲型跨站指令碼攻擊,原因是未對用戶提供的屬性進行足夠的輸入清理和輸出轉義。這使得已驗證的攻擊者,只要擁有貢獻者等級的訪問權限或更高權限,就可以在頁面中注入任意指令碼,並在訪客瀏覽注入頁面時執行該指令碼。

參考資料:
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/essential-addons-for-elementor-lite/essential-addons-for-elementor-5914-authenticated-contributor-store-cross-site-scripting-via-widget-url-attribute

#大邵報資安

#WordPress

Similar Posts

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *