Admin Columns Free (< 4.3.2) & Pro (< 5.5.2) - Authenticated Stored Cross-Site Scripting (XSS) in Custom Field

The Admin Columns WordPress plugin Free before 4.3.2 and Pro before 5.5.2 allowed to configure individual columns for tables. Each column had a type. The type "Custom Field" allowed to choose an arbitrary database column to display in the table. There was no escaping applied to the contents of "Custom Field" columns.

N/A

在Web页面生成时对输入的转义处理不恰当(跨站脚本)

WordPress 插件跨站脚本漏洞

WordPress是Wordpress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress 插件是WordPress开源的一个应用插件。 Wordpress 插件Admin Columns 存在跨站脚本漏洞，该漏洞源于对用户提供的自定义字段的数据没有进行充分的处理。远程攻击者可利用该漏洞诱骗受害者，使其访问一个精心构造的链接，并在用户的浏览器中执行任意HTML和脚本代码。以下产品和版本的影响:Admin Columns 4.0, 4.0.1

N/A

N/A