CVE-2024-9830丨Bard <= 2.216 — 通过 add_query_arg 参数反射跨站点脚本

2024年11月20日 178点热度 0人点赞 0条评论

Bard <= 2.216 — 通过 add_query_arg 参数反射跨站点脚本 (CVE-2024-9830)

CVE编号

CVE-2024-9830

利用情况

暂无

补丁情况

N/A

披露时间

2024-11-19

漏洞描述

WordPress中的Bard主题在直至并包括2.216版本中都存在反射型跨站脚本（Reflected Cross-Site Scripting）漏洞。该漏洞是由于在URL中使用add_query_arg函数时没有进行适当的转义处理导致的。这使得未经验证的攻击者能够在页面中注入任意网页脚本，如果攻击者能够成功诱使用户执行某个操作（例如点击链接），这些脚本就会执行。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://themes.trac.wordpress.org/browser/bard/2.216/functions.php#L109
https://themes.trac.wordpress.org/browser/bard/2.216/functions.php#L98
https://themes.trac.wordpress.org/changeset/248854/
https://wordpress.org/themes/bard/
https://www.wordfence.com/threat-intel/vulnerabilities/id/9aff1e5b-2f16-43d0-...

CVE-2024-9830丨Bard <= 2.216 — 通过 add_query_arg 参数反射跨站点脚本

Bard <= 2.216 — 通过 add_query_arg 参数反射跨站点脚本 (CVE-2024-9830)

漏洞描述

解决建议

参考链接

文章评论