近日据WordPress的安全公告表明����,WordPress多个插件存在XSS漏洞,建议及时修复
漏洞详情:
WordPress是一款个人博客系统�����,并逐步演化成一款内容管理系统软件�����,它是使用PHP语言和MySQL数据库开发的�,丰富的插件和模板是WordPress非常流行的一个特性。
1.CVE-2021-39353
影响产品:easy-registration-forms
漏洞描述:由于在~/includes/class-form.php文件中没有通过ajax_add_form函数进行nonce验证���,该插件很容易被跨站请求伪造����。这使得攻击者有可能在2.1.1及2.1.1版本中注入任意web脚本。
2.CVE-2021-42363
影响产品:woo-preview-e**ils
漏洞描述:通过~/views/form.php文件中的search_order参数���,该插件的预览电子邮件容易受到反射跨站脚本的攻击���。攻击者可以在1.6.8及以上版本中注入任意的web脚本。
威胁等级:高危
受影响版本:
easy-registration-forms-WordPress<=2.1.1
woo-preview-e**ils-WordPress<=1.6.8
修复建议:
及时更新插件至安全版本:
easy-registration-forms:无补丁可用�����,插件已关闭下载�。已安装该插件的用户建议卸载插件����。
woo-preview-e**ils:更新至版本2.0.0。
