Specially crafted filenames in WordPress leading to XSS

In affected versions of WordPress, files with a specially crafted name when uploaded to the Media section can lead to script execution upon accessing the file. This requires an authenticated user with privileges to upload files. This has been patched in version 5.4.1, along with all the previously affected versions via a minor release (5.3.3, 5.2.6, 5.1.5, 5.0.9, 4.9.14, 4.8.13, 4.7.17, 4.6.18, 4.5.21, 4.4.22, 4.3.23, 4.2.27, 4.1.30, 4.0.30, 3.9.31, 3.8.33, 3.7.33).

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N

对消息或数据结构的处理不恰当

WordPress 跨站脚本漏洞

WordPress是WordPress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。 WordPress中存在跨站脚本漏洞。攻击者可通过上传特制的文件利用该漏洞运行脚本。以下产品及版本受到影响：WordPress 5.4.0及之后版本（5.4.1版本已修复），5.3.0及之后版本（5.3.3版本已修复），5.2.0及之后版本（5.2.6版本已修复），5.1.0及之后版本（5.1.5版本已修复），5.0.0及之后版本（5.0.9版本已修复），4.9.0及

N/A

N/A