WP Admin UI Customize < 1.5.13 存在存储型 XSS 漏洞

WP Admin UI Customize 是 WordPress 的一款自定义管理界面的插件。

即使禁用 unfilter _ html 功能,WP Admin UI Customize 在 1.5.13 之前的版本中仍然没有正确过滤用户的输入内容。具有 WordPress 站点管理员及以上用户权限的攻击者可通过在登录表单中输入恶意 payload 如(123″onmouseenter=alert (/XSS/)”)进行存储型 XSS 攻击,刷新或重新进入页面时触发攻击者控制的恶意 JavaScript 代码。

 

修复方案
升级 WP Admin UI Customize 到 1.5.13 或更高版本

订阅评论
提醒
guest

0 评论
内联反馈
查看所有评论
阅读86次
0
希望看到您的想法,请您发表评论x