一、 漏洞描述攻击者可利用 Apache JSPWiki 中存在的 XSS 漏洞，通过一个精心设计的 Denounce 插件链接调用在受害者的浏览器上执行 JavaScript 和获取目标的敏感信息。二、 漏洞详情CVE-2021-40369 : Apache JSPWiki 跨站脚本漏洞CVE: CVE-2021-40369 组件: Apache JSPWiki漏洞类型: 代码

一、 漏洞描述在安装了 Elementor 的站点上，具有该 edit_posts 功能的攻击者可以在他们控制的服务器上制作和托管一个包含恶意 JavaScript 的块，然后通过发送 AJAX 请求并将操作设置为 astra-page-elementor-batch-process 并且 url 参数指向他们远程托管的恶意块，从而使用它来覆盖任何帖子或页面，以及包含要覆盖的帖子或页面的 id

一、 漏洞描述在安装了 Elementor 的站点上，具有该 edit_posts 功能的攻击者可以在他们控制的服务器上制作和托管一个包含恶意 JavaScript 的块，然后通过发送 AJAX 请求并将操作设置为 astra-page-elementor-batch-process 并且 url 参数指向他们远程托管的恶意块，从而使用它来覆盖任何帖子或页面，以及包含要覆盖的帖子或页面的 id

一、 漏洞描述具有贡献者级别及以上访问权限的攻击者可利用 ~/src/Image.php 文件中的输入文件类型验证不足，通过对 WordPress 热门帖子上传恶意文件，从而能够远程代码执行。二、 漏洞详情CVE-2021-42362 : WordPress 远程代码执行漏洞CVE: CVE-2021-42362 组件: wordpress-popular-posts漏洞类型: 代码

一、 漏洞描述攻击者可利用同时使用 spring-cloud-netflix-hystrix-dashboard 和 spring-boot-starter-thymeleaf 的应用程序公开在视图模板解析期间执行在请求 URI 路径中提交的代码问题，对 `/hystrix/monitor;[user-provided data]` 发出请求，使 `hystrix/monitor` 后面的路径