Stackable – 页面构建器 Gutenberg Blocks <= 3.13.6 - 未经身份验证的 CSS 注入 (CVE-2024-8760)
CVE编号
CVE-2024-8760利用情况
暂无补丁情况
N/A披露时间
2024-10-12漏洞描述
WordPress中的Stackable – Page Builder Gutenberg Blocks插件在直至并包括3.13.6版本中都存在CSS注入漏洞。这使得未经身份验证的攻击者能够在评论中嵌入不受信任的风格信息,从而导致可能的数据泄露,例如具有有限影响的管理员nonce。这些nonce可以在有限的时间窗口内用于执行CSRF攻击。其他插件的存在可能会产生额外的nonce,这可能对那些未执行能力检查以保护AJAX操作或其他低权限用户可访问的操作的插件构成风险。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&... | |
| https://www.wordfence.com/threat-intel/vulnerabilities/id/1fd0b13c-7447-45da-... |
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 未更改
- 用户交互 无
- 可用性 无
- 保密性 低
- 完整性 无
| CWE-ID | 漏洞类型 |
| CWE-94 | 对生成代码的控制不恰当(代码注入) |
Exp相关链接
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论