CVE-2024-9357丨xili-tidy-tags <= 1.12.04 - 反射式跨站脚本

2024年11月14日 142点热度 0人点赞 0条评论

xili-tidy-tags <= 1.12.04 - 反射式跨站脚本 (CVE-2024-9357)

CVE编号

CVE-2024-9357

利用情况

暂无

补丁情况

N/A

披露时间

2024-11-12

漏洞描述

WordPress的xili-tidy-tags插件在所有版本（包括1.12.04版本）中都存在通过“action”参数进行反射型跨站脚本攻击（Reflected Cross-Site Scripting）的漏洞，这是由于输入清理和输出转义不足导致的。这使得未经验证的攻击者能够在页面上注入任意web脚本，如果成功诱导用户执行某个操作（例如点击链接），这些脚本就会执行。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://plugins.trac.wordpress.org/browser/xili-tidy-tags/tags/1.12.04/xili-i...
https://plugins.trac.wordpress.org/changeset?old_path=/xili-tidy-tags/tags/1....
https://www.wordfence.com/threat-intel/vulnerabilities/id/28fd9f64-4451-46fd-...

CVE-2024-9357丨xili-tidy-tags <= 1.12.04 - 反射式跨站脚本

xili-tidy-tags <= 1.12.04 - 反射式跨站脚本 (CVE-2024-9357)

漏洞描述

解决建议

参考链接

文章评论