WordPress stetic插件 XSS漏洞

0x01 漏洞描述

Stetic WordPress插件可以在 Wordpress 儀表板上提供統計顯示和包含最重要數據的單獨頁面。

2021年12月3日，360漏洞云團隊監測到WordPress發布安全公告，修復了一個存在于WordPress stetic 插件中的漏洞。漏洞編號：CVE-2021-42364，漏洞威脅等級：高危，漏洞評分：8.8。

該漏洞是由于缺少通過stats_page stetic.php文件中的函數進行的隨機數驗證，Stetic WordPress 插件容易受到跨站點請求偽造的攻擊，這使得攻擊者可以在 1.0 及以下版本中注入任意 Web 腳本。

0x02 危害等級

高危：8.8

0x03 影響版本

stetic <=1.0.6

0x04 修復建議

無補丁可用，插件已關閉下載。已安裝該插件的用戶請卸載插件。

與此同時，請做好資產自查以及預防工作，以免遭受黑客攻擊。