高危!WordPress插件中的多個XSS漏洞
X0_0X2021-11-22 18:01:58
0x01 漏洞描述
2021年11月22日,360漏洞云團隊監測到WordPress發布安全公告,修復了兩個存在于WordPress插件中的漏洞。其中,高危漏洞1條,中危漏洞1條,漏洞詳情如下:
CVE-2021-39353
影響產品:easy-registration-forms
漏洞類型:XSS
漏洞評分:8.8
漏洞描述:由于在~/includes/class-form.php文件中沒有通過ajax_add_form函數進行nonce驗證,該插件很容易被跨站請求偽造。這使得攻擊者有可能在2.1.1及2.1.1版本中注入任意web腳本。
CVE-2021-42363
影響產品:woo-preview-emails
漏洞類型:XSS
漏洞評分:6.1
漏洞描述:通過~/views/form.php文件中的search_order參數,該插件的預覽電子郵件容易受到反射跨站腳本的攻擊。攻擊者可以在1.6.8及以上版本中注入任意的web腳本。
0x02 危害等級
高危
0x03 影響版本
easy-registration-forms-WordPress<=2.1.1
woo-preview-emails-WordPress<=1.6.8
0x04 修復建議
廠商已發布升級修復漏洞,用戶請盡快更新至安全版本:
easy-registration-forms:無補丁可用,插件已關閉下載。已安裝該插件的用戶請卸載插件。
woo-preview-emails:更新到版本2.0.0。
與此同時,請做好資產自查以及預防工作,以免遭受黑客攻擊。
X0_0X
暫無描述