漏洞信息
# MapPress Maps for WordPress 的 2.94.10 版本以下 - 存储型XSS绕过行政检查漏洞
## 漏洞概述
MapPress Maps for WordPress插件在2.94.10版本之前没有对某些设置进行净化和转义处理,这使得高权限用户(如管理员)即使在禁用了unfiltered_html功能(例如在多站点设置中)的情况下也能执行Stored Cross-Site Scripting (XSS) 攻击。
## 影响版本
- 2.94.10之前的所有版本
## 漏洞细节
插件没有对部分设置进行必要的净化和转义处理,导致能够注入恶意脚本。虽然默认情况下多站点环境会限制HTML内容以防止XSS攻击,但该漏洞允许高权限用户绕过这一限制,执行Stored XSS攻击。
## 影响
高权限用户可以在某些设置中嵌入恶意脚本,这些脚本会在其他用户访问相关页面时执行,可能导致敏感信息泄露、账户劫持或进一步的恶意操作。
备注
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
MapPress Maps for WordPress < 2.94.10 - Admin+ Stored XSS
漏洞描述信息
The MapPress Maps for WordPress plugin before 2.94.10 does not sanitise and escape some of its settings, which could allow high privilege users such as admin to perform Stored Cross-Site Scripting attacks even when the unfiltered_html capability is disallowed (for example in multisite setup).
CVSS信息
N/A
漏洞类别
N/A