WooCommerce 愿望清单:每个客户多个愿望清单 PRO 3.0.8 - 3.1.2 - 通过 wtab 参数反映跨站点脚本 (CVE-2024-10519)
CVE编号
CVE-2024-10519
利用情况
暂无
补丁情况
N/A
披露时间
2024-11-23
漏洞描述
WooCommerce的WishList功能插件(WordPress的多客户端愿望清单PRO版)在版本3.0.8至3.1.2中,由于输入清理和输出转义不足,存在通过愿望列表页面上的'wtab'参数进行跨站脚本反射(Reflected Cross-Site Scripting)的漏洞。这使得未经身份验证的攻击者能够在页面中注入任意web脚本成为可能,如果攻击者成功诱导用户执行某个动作(例如点击链接),这些脚本就会执行。请注意:只有使用PHP版本<=7.4的WordPress安装受此漏洞影响。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
文章评论