【資安通報】LearnPress <= 4.2.6.4

【資安通報】

風險等級(滿分為10分): 6.4

受影響版本: <= 4.2.6.4

簡述:
該漏洞是通過「_id」值進行存儲型跨站指令碼攻擊，原因是未對用戶提供的屬性進行足夠的輸入清理和輸出轉義。這使得已驗證的攻擊者（具有投稿者等級的訪問權限及以上）可以在頁面中注入任意指令碼，只要訪客瀏覽被注入頁面時，這些指令碼就會執行。

參考資料:
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/learnpress/learnpress-wordpress-lms-plugin-4264-authenticated-contributor-stored-cross-site-scripting

#大邵報資安

#WordPress