CVE-2024-10017丨PJW Mime Config <= 1.0 - 通过 SVG 文件上传进行身份验证 (Author+) 存储跨站点脚本

PJW Mime Config <= 1.0 - 通过 SVG 文件上传进行身份验证 (Author+) 存储跨站点脚本 (CVE-2024-10017) CVE编号 CVE-2024-10017 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-16 漏洞描述 WordPress中的PJW Mime Config插件存在跨站脚本存储漏洞，该漏洞存在于所有版本直至并包括版本1.0。由于输入清理和输出转义不足，该漏洞可通过SVG文件上传触发。这使得拥有作者级别及以上访问权限的认证攻击者能够在用户访问SVG文件时在页面上注入任意网页脚本并执行。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接 https://wordpress.org/plugins/pjw-mime-config https://www.wordfence.com/threat-intel/vulnerabilities/id/2731e8ed-27db-4d2b-...