CVE-2024-10175丨WPBakery 页面构建器 (以前称为 Visual Composer) <= 1.4 的定价表 - 通过 wdo_pricing_tables 短代码进行身份验证 (Contributor+) 存储的跨站点脚本

2024年11月28日 136点热度 0人点赞 0条评论

WPBakery 页面构建器 (以前称为 Visual Composer) <= 1.4 的定价表 - 通过 wdo_pricing_tables 短代码进行身份验证 (Contributor+) 存储的跨站点脚本 (CVE-2024-10175)

CVE编号

CVE-2024-10175

利用情况

暂无

补丁情况

N/A

披露时间

2024-11-27

漏洞描述

WordPress中的WPBakery Page Builder（以前称为Visual Composer）插件的定价表存在存储型跨站脚本漏洞。该漏洞存在于插件的wdo_pricing_tables短代码内，影响所有版本至包括版本1.4。由于对用户提供的属性缺乏足够的输入清理和输出转义，使得拥有贡献者级别权限及以上的认证攻击者能够在页面中注入任意网页脚本，每当用户访问注入页面时，这些脚本就会执行。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://wordpress.org/plugins/pricing-tables-for-visual-composer/#developers
https://www.wordfence.com/threat-intel/vulnerabilities/id/79091bc0-d9b6-4a4b-...

CVE-2024-10175丨WPBakery 页面构建器 (以前称为 Visual Composer) <= 1.4 的定价表 - 通过 wdo_pricing_tables 短代码进行身份验证 (Contributor+) 存储的跨站点脚本

WPBakery 页面构建器 (以前称为 Visual Composer) <= 1.4 的定价表 - 通过 wdo_pricing_tables 短代码进行身份验证 (Contributor+) 存储的跨站点脚本 (CVE-2024-10175)

漏洞描述

解决建议

参考链接

文章评论