WordPress XSS漏洞

 漏洞资讯     |      2021-11-23

一、   漏洞描述

在安装了 Elementor 的站点上,具有该 edit_posts 功能的攻击者可以在他们控制的服务器上制作和托管一个包含恶意 JavaScript 的块,然后通过发送 AJAX 请求并将操作设置为 astra-page-elementor-batch-process 并且 url 参数指向他们远程托管的恶意块,从而使用它来覆盖任何帖子或页面,以及包含要覆盖的帖子或页面的 id 参数。

二、   漏洞详情

CVE-2021-42360  : WordPress XSS漏洞

CVE: CVE-2021-42360  

组件:  astra-sites

漏洞类型: 代码问题

影响: 可覆盖任何帖子、页面

简述: 见漏洞描述

三、   影响版本


影响产品或系统版本

安全版本

astra-sites

astra-sites <= 2.7.0

最新版本

四、   安全版本

见三

五、  安全建议

通用修补建议:

厂商已发布升级,用户请尽快升级

   补丁信息:

补丁名称:WordPress XSS漏洞补丁

补丁链接:https://www.wordfence.com/vulnerability-advisories/#CVE-2021-42360