WordPress 插件多個漏洞

0x01 漏洞描述

2021年12月9日，360漏洞云團隊監測到WordPress發布安全公告，修復了兩個存在于WordPress插件中的中危漏洞。漏洞詳情如下： 

 CVE-2021-42367

漏洞等級：中危（6.1）

影響產品：variation-swatches-for-woocommerce

漏洞類型：XSS

漏洞描述：該插件由于輸入驗證不足和通過fathom_site_id~/fathom-analytics.php 文件中的參數進行轉義而容易受到存儲跨站點腳本的攻擊，該文件允許具有管理用戶訪問權限的攻擊者在更高版本中注入任意 Web 腳本。這會影響unfiltered_html 管理員禁用的多站點安裝和unfiltered_html 禁用的站點 。

 CVE-2021-41836 

漏洞等級：中危（4.8）

影響產品：fathom-analytics  

漏洞類型：XSS

漏洞描述：該插件的 Variation Swatches 通過 ~/includes/class-menu-page.php 文件中的幾個參數容易受到存儲跨站點腳本的攻擊，該文件允許攻擊者在 2.1 及以下版本中注入任意 Web 腳本。

0x02 危害等級

中危：6.1

0x03 影響版本

fathom-analytics <=3.0.4 

variation-swatches-for-woocommerce <=2.1.1

0x04 修復建議

廠商已發布升級修復漏洞，用戶請盡快更新至安全版本：

fathom-analytics：無補丁可用，插件已關閉下載。已安裝該插件的用戶請卸載插件。

variation-swatches-for-woocommerce：更新到版本 2.1.2 及以上版本。

與此同時，請做好資產自查以及預防工作，以免遭受黑客攻擊。