管理和站点增强功能 (ASE) <= 7.5.1 - 通过 SVG 进行经过身份验证的存储跨站点脚本 (CVE-2024-10790)
CVE编号
CVE-2024-10790
利用情况
暂无
补丁情况
N/A
披露时间
2024-11-12
漏洞描述
WordPress的Admin和站点增强(ASE)插件存在存储型跨站脚本漏洞,该漏洞存在于所有版本至7.5.1,包括该版本在内,原因是输入清理和输出转义不足。这使得具有自定义级别访问权限及以上的认证攻击者能够在用户访问SVG文件时在页面上注入任意网页脚本并执行。此功能必须启用,并且针对特定角色才能利用该漏洞。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
文章评论