CVE-2024-10484丨Spectra – WordPress Gutenberg Blocks <= 2.16.2 - 通过 Team Widget 进行身份验证 (Contributor+) 存储的跨站点脚本

2024年12月4日 388点热度 0人点赞 0条评论

Spectra – WordPress Gutenberg Blocks <= 2.16.2 - 通过 Team Widget 进行身份验证 (Contributor+) 存储的跨站点脚本 (CVE-2024-10484) CVE编号 CVE-2024-10484 利用情况暂无补丁情况 N/A 披露时间 2024-12-03 漏洞描述 Spectra WordPress Gutenberg Blocks插件存在存储型跨站脚本漏洞。该漏洞存在于插件的“团队”小部件中，影响所有直至并包括2.16.2的版本。由于对用户提供的属性进行了不足够的安全过滤和输出转义，使得具有贡献者级别及以上访问权限的认证攻击者能够在页面中注入任意网页脚本，每当用户访问注入页面时，脚本就会执行。解决建议建议您更新当前系统或软件至最新版，完成漏洞的修复。参考链接 https://plugins.trac.wordpress.org/changeset/3180325/ https://wordpress.org/plugins/ultimate-addons-for-gutenberg/#developers https://www.wordfence.com/threat-intel/vulnerabilities/id/c218bf5e-b28b-4512-...

CVE-2024-10484丨Spectra – WordPress Gutenberg Blocks <= 2.16.2 - 通过 Team Widget 进行身份验证 (Contributor+) 存储的跨站点脚本

文章评论