CVE-2024-11453丨WordPress Pinterest 插件 – 制作弹出窗口、用户资料、砌体和画廊布局 <= 1.8.8 - 经过身份验证 (Contributor+) 存储的跨站点脚本

WordPress Pinterest 插件 – 制作弹出窗口、用户资料、砌体和画廊布局 <= 1.8.8 - 经过身份验证 (Contributor+) 存储的跨站点脚本 (CVE-2024-11453) CVE编号 CVE-2024-11453 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-03 漏洞描述 WordPress的Pinterest插件存在存储型跨站脚本攻击漏洞。该漏洞存在于插件的“gs_pin_widget”短代码内，影响版本包括并低于1.8.8版本。由于对用户提供的属性缺乏足够的输入清理和输出转义，使得具有贡献者级别访问权限及以上的认证攻击者能够在页面中注入任意网页脚本。每当用户访问注入页面时，这些脚本就会执行。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接 https://plugins.trac.wordpress.org/browser/gs-pinterest-portfolio/tags/1.8.8/... https://plugins.trac.wordpress.org/changeset/3200115/gs-pinterest-portfolio/t... https://www.wordfence.com/threat-intel/vulnerabilities/id/425cd0be-d17e-4c2b-...