CVE-2024-9635丨在 WooCommerce <= 6.0.2 上使用 Cash App 结账 - 反射式跨站点脚本

2024年11月25日 170点热度 0人点赞 0条评论

在 WooCommerce <= 6.0.2 上使用 Cash App 结账 - 反射式跨站点脚本 (CVE-2024-9635)

CVE编号

CVE-2024-9635

利用情况

暂无

补丁情况

N/A

披露时间

2024-11-23

漏洞描述

WordPress中的WooCommerce插件的“使用Cash App进行结账”功能存在跨站反射脚本漏洞，该漏洞涉及所有版本（包括至多版本6.0.2）。由于输入清理和输出转义不足，该漏洞存在于多个文件中的'_wp_http_referer'参数。这使得未经验证的攻击者能够在用户执行某些操作（例如点击链接）时在页面上注入并执行任意Web脚本。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://plugins.trac.wordpress.org/browser/wc-cashapp/trunk/includes/class-wc...
https://plugins.trac.wordpress.org/browser/wc-cashapp/trunk/includes/class-wc...
https://plugins.trac.wordpress.org/browser/wc-cashapp/trunk/includes/class-wc...
https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&...
https://www.wordfence.com/threat-intel/vulnerabilities/id/770d1b3f-45f1-40f6-...

CVE-2024-9635丨在 WooCommerce <= 6.0.2 上使用 Cash App 结账 - 反射式跨站点脚本

在 WooCommerce <= 6.0.2 上使用 Cash App 结账 - 反射式跨站点脚本 (CVE-2024-9635)

漏洞描述

解决建议

参考链接

文章评论