Pago por Redsys <= 1.0.12 - Reflected Cross-Site Scripting 漏洞信息(CVE-2024-12467)

一、漏洞 CVE-2024-12467 基础信息

AIGC 神龙大模型
美国国家漏洞数据库 NVD

漏洞标题

Pago por Redsys <= 1.0.12 版本存在反射型跨站脚本漏洞

来源：AIGC 神龙大模型

漏洞描述信息

WordPress所使用的Pago por Redsys插件在所有版本中，包括1.0.12版本，都存在一个反射型跨站脚本漏洞。该漏洞是由于对'Ds_MerchantParameters'参数的输入没有进行充分的验证和输出转义所导致的。这使得未认证的攻击者可以通过在页面中注入任意的Web脚本来进行攻击，前提是攻击者能够成功诱导用户执行某些操作，如点击链接。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

来源：AIGC 神龙大模型

漏洞类别

在Web页面生成时对输入的转义处理不恰当(跨站脚本)

来源：AIGC 神龙大模型

漏洞标题

Pago por Redsys <= 1.0.12 - Reflected Cross-Site Scripting

来源：美国国家漏洞数据库 NVD

漏洞描述信息

The Pago por Redsys plugin for WordPress is vulnerable to Reflected Cross-Site Scripting via the 'Ds_MerchantParameters' parameter in all versions up to, and including, 1.0.12 due to insufficient input sanitization and output escaping. This makes it possible for unauthenticated attackers to inject arbitrary web scripts in pages that execute if they can successfully trick a user into performing an action such as clicking on a link.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

来源：美国国家漏洞数据库 NVD

漏洞类别

在Web页面生成时对输入的转义处理不恰当(跨站脚本)

来源：美国国家漏洞数据库 NVD

二、漏洞 CVE-2024-12467 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2024-12467 的情报信息

标题： Pago por Redsys <= 1.0.12 - Reflected Cross-Site Scripting -- 🔗来源链接

标签：
标题： pago-redsys-grafreak-public-display.php in pago-redsys-tpv-grafreak/tags/1.0.13/public/partials – WordPress Plugin Repository -- 🔗来源链接

标签：
标题： class-redsysapi.php in pago-redsys-tpv-grafreak/tags/1.0.13/includes – WordPress Plugin Repository -- 🔗来源链接

标签：
标题： Changeset 3215878 for pago-redsys-tpv-grafreak – WordPress Plugin Repository -- 🔗来源链接

标签：
https://nvd.nist.gov/vuln/detail/CVE-2024-12467