CVE-2024-9777丨Ashe <= 2.243 — 通过 add_query_arg 参数反射跨站点脚本

2024年11月20日 200点热度 0人点赞 0条评论

CVE编号

CVE-2024-9777

利用情况

暂无

补丁情况

N/A

披露时间

2024-11-19

Ashe主题的WordPress存在反射型跨站脚本漏洞，该漏洞存在于所有版本至包括2.243的URL中使用了未进行适当转义的add_query_arg函数。这使得未经身份验证的攻击者能够在页面注入任意web脚本成为可能，如果攻击者成功诱使用户执行某些操作（例如点击链接），这些脚本就会执行。

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://themes.trac.wordpress.org/browser/ashe/2.242/functions.php#L101
https://themes.trac.wordpress.org/browser/ashe/2.242/functions.php#L112
https://themes.trac.wordpress.org/changeset/248853/
https://wordpress.org/themes/ashe/
https://www.wordfence.com/threat-intel/vulnerabilities/id/ce6c2f36-9eed-482f-...