CVE-2024-10832丨Posti Shipping <= 3.10.3 - Cross-Site Request Forgery to Stored Cross-Site Scripting via generate_notices_html Function

Posti Shipping <= 3.10.3 - Cross-Site Request Forgery to Stored Cross-Site Scripting via generate_notices_html Function (CVE-2024-10832) CVE编号 CVE-2024-10832 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-04 漏洞描述 WordPress中的Posti Shipping插件在直至并包括3.10.3的所有版本中均存在跨站请求伪造（Cross-Site Request Forgery）漏洞。这是由于generate_notices_html()函数中缺少或不正确的nonce验证所导致的。这使得未经验证的攻击者能够通过伪造请求注入恶意网页脚本，只要他们能够诱骗网站管理员执行点击链接等操作即可。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接 https://plugins.trac.wordpress.org/browser/posti-shipping/tags/3.10.3/core/cl... https://plugins.trac.wordpress.org/browser/posti-shipping/tags/3.10.3/core/cl... https://wordpress.org/plugins/posti-shipping/#developers https://www.wordfence.com/threat-intel/vulnerabilities/id/079c77f1-3aab-4457-...