【資安通報】
風險等級(滿分為10分): 6.5
受影響版本: <= 6.5.0
簡述:
WordPress Core 存在一個儲存型跨網站指令碼(XSS)漏洞,此漏洞出現在頭像區塊中的使用者顯示名稱上,影響版本範圍為 6.5.2 以前的各個版本,原因是顯示名稱的輸出編碼不足。這使得已驗證的攻擊者(具有投稿者等級及以上權限)可以在頁面中注入任意的網頁指令碼,在訪問被注入頁面時將會執行該指令碼。
參考資料:
- https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-core/wordpress-core-652-authenticated-contributor-stored-cross-site-scripting-via-avatar-block
- https://patchstack.com/database/vulnerability/wordpress/wordpress-core-plugin-6-5-0-authenticated-contributor-stored-cross-site-scripting-via-avatar-block-vulnerability
- https://www.searchenginejournal.com/wordpress-discovers-xss-vulnerability-recommends-updating-to-6-5-2/513501/
#大邵報資安
#WordPress
