CVE-2024-10850丨Elementor <= 1.2.5 的 Razorpay 支付按钮 - 反射式跨站点脚本

2024年11月14日 152点热度 0人点赞 0条评论

Elementor <= 1.2.5 的 Razorpay 支付按钮 - 反射式跨站点脚本 (CVE-2024-10850)

CVE编号

CVE-2024-10850

利用情况

暂无

补丁情况

N/A

披露时间

2024-11-13

漏洞描述

WordPress中的Razorpay支付按钮Elementor插件存在反射跨站脚本漏洞，该漏洞是由于在URL中使用add_query_arg和remove_query_arg函数时没有进行适当的转义导致的，包括所有版本直到并包括版本1.2.5。这使得未经身份验证的攻击者能够在用户执行操作（例如点击链接）时在页面上注入任意Web脚本并执行它们成为可能。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://plugins.trac.wordpress.org/browser/razorpay-payment-button-elementor/...
https://www.wordfence.com/threat-intel/vulnerabilities/id/9331aa66-2eee-4745-...

CVE-2024-10850丨Elementor <= 1.2.5 的 Razorpay 支付按钮 - 反射式跨站点脚本

Elementor <= 1.2.5 的 Razorpay 支付按钮 - 反射式跨站点脚本 (CVE-2024-10850)

漏洞描述

解决建议

参考链接

文章评论