支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:752

75.2%
立即捐款
一、 漏洞 CVE-2015-8350 基础信息
漏洞信息
                                        # N/A

## 漏洞概述
Calls to Action 插件在 WordPress 中存在多个跨站脚本 (XSS) 漏洞,允许远程攻击者通过特定参数注入任意的 Web 脚本或 HTML。

## 影响版本
影响版本:Calls to Action 插件的所有版本小于 2.5.1。

## 漏洞细节
1. 通过 `wp_cta_global_settings` 动作中的 `open-tab` 参数在 `wp-admin/edit.php` 中注入恶意脚本或 HTML。
2. 通过 `wp-cta-variation-id` 参数在 `ab-testing-call-to-action-example/` 中注入恶意脚本或 HTML。

## 漏洞影响
这些漏洞允许攻击者在受害者的浏览器上执行任意的 Web 脚本或 HTML,可能导致敏感数据泄露、会话劫持或其他恶意行为。
神龙判断

是否为 Web 类漏洞:

判断理由:

是。这个漏洞存在于WordPress的Calls to Action插件中,该插件的版本低于2.5.1。漏洞允许远程攻击者通过向特定URL发送带有恶意脚本的请求,注入任意的web脚本或HTML,从而在用户的浏览器中执行这些脚本。这种类型的攻击称为跨站脚本攻击(XSS),并且影响的是Web服务的服务端部分,因为它们利用了服务端对输入数据的不当处理。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Multiple cross-site scripting (XSS) vulnerabilities in the Calls to Action plugin before 2.5.1 for WordPress allow remote attackers to inject arbitrary web script or HTML via the (1) open-tab parameter in a wp_cta_global_settings action to wp-admin/edit.php or (2) wp-cta-variation-id parameter to ab-testing-call-to-action-example/.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
WordPress Calls to Action插件跨站脚本漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站。Calls to Action是其中的一个活动召集插件。 WordPress Calls to Action插件2.4.3及之前版本中存在跨站脚本漏洞,该漏洞源于程序没有充分过滤用户提交的输入。当用户浏览受影响的网站时,其浏览器将执行攻击者提供的任意脚本代码。这可能导致攻击者窃取基于cookie的身份验证并发起其它攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站脚本
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2015-8350 的公开POC
#POC 描述源链接神龙链接
1Calls to Action plugin before 2.5.1 for WordPress contains stored XSS caused by unsanitized input in open-tab parameter in wp-admin/edit.php and wp-cta-variation-id parameter in ab-testing-call-to-action-example/, letting remote attackers inject arbitrary web script or HTML, exploit requires sending crafted requests. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2015/CVE-2015-8350.yamlPOC详情
三、漏洞 CVE-2015-8350 的情报信息
四、漏洞 CVE-2015-8350 的评论

暂无评论

发表评论