Elementor <= 1.2.2 的 OSM 地图小部件 - 通过 id 参数进行身份验证 (Contributor+) 存储的跨站点脚本 (CVE-2024-4663)

admin

0
文章

0
评论

2024-06-19 21:43:33 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

Elementor <= 1.2.2 的 OSM 地图小部件 - 通过 id 参数进行身份验证 (Contributor+) 存储的跨站点脚本 (CVE-2024-4663)

CVE编号

CVE-2024-4663

利用情况

暂无

补丁情况

N/A

披露时间

2024-06-19

漏洞描述

在版本1.2.2及以下的所有版本中，由于输入清理和输出转义不足，通过'id'参数存在跨站脚本反射漏洞。未经验证的攻击者可以在页面中注入任意web脚本，如果攻击者能够成功诱导用户执行某个操作（例如点击链接），这些脚本就会执行。建议用户尽快升级到最新版本，并对相关参数进行严格的输入验证和输出过滤。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://plugins.trac.wordpress.org/browser/osm-map-elementor/trunk/osm-map.php
https://www.wordfence.com/threat-intel/vulnerabilities/id/402d0399-bc48-4740-...

攻击路径网络
攻击复杂度低
权限要求低
影响范围已更改
用户交互无
可用性无
保密性低
完整性低

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

CWE-ID	漏洞类型

- avd.aliyun.com

本站原创文章转载请注明文章出处及链接，谢谢合作！

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带

ZONE.CI 全球网

安全领域涉猎者-乌云独行地带

ZONE.CI 全球网

Plugins

WordPress

Web前端

设计资源

Elementor <= 1.2.2 的 OSM 地图小部件 - 通过 id 参数进行身份验证 (Contributor+) 存储的跨站点脚本 (CVE-2024-4663)

Elementor <= 1.2.2 的 OSM 地图小部件 - 通过 id 参数进行身份验证 (Contributor+) 存储的跨站点脚本 (CVE-2024-4663)

漏洞描述

解决建议

参考链接

Elementor <= 1.2.2 的 OSM 地图小部件 - 通过 id 参数进行身份验证 (Contributor+) 存储的跨站点脚本 (CVE-2024-4663)

成本计算器生成器 PRO <= 3.1.75 - 未经身份验证的任意电子邮件发送 (CVE-2024-4787)

替换图像 <= 1.1.10 - 不安全的直接对象引用 (CVE-2024-4873)

WordPress 图片/作品集/媒体库 <= 3.0.1 - 未经身份验证的服务器端请求伪造 (CVE-2024-5021)

Universal Slider <= 1.6.5 — 已验证 (Contributor+) PHP 对象注入 (CVE-2024-5649)

照片视频库大师 <= 1.5.3 - 已认证 (Contributor+) PHP 对象注入 (CVE-2024-5724)

MIMO Woocommerce 订单跟踪 <= 1.0.2 - 缺少对经过身份验证的 (Contributor+) 存储跨站点脚本的授权 (CVE-2024-5768)

Salon Booking System <= 10.2 - Unauthenticated Arbitrary File Upload (CVE-2024-3229)

N/A

Ultimate Blocks – WordPress Blocks Plugin <= 3.0.8 - Authenticated(Contributor+) Stored Cross-Sit

ZONE.CI 全球网

Plugins

WordPress

Web前端

设计资源

Elementor <= 1.2.2 的 OSM 地图小部件 - 通过 id 参数进行身份验证 (Contributor+) 存储的跨站点脚本 (CVE-2024-4663)

漏洞描述

解决建议

参考链接

Exp相关链接

ZONE.CI 全球网