关键信息 1. 漏洞编号: - JVN#87182660 2. 漏洞名称: - WordPress Plugin "WP Admin UI Customize" vulnerable to cross-site scripting 3. 受影响的产品: - WP Admin UI Customize versions prior to ver 1.5.14 4. 描述: - WordPress Plugin "WP Admin UI Customize" provided by gqevu6bsiz contains a stored cross-site scripting vulnerability (CWE-79). 5. 影响: - 如果恶意的管理员用户自定义了管理员屏幕,带有恶意内容,可能会在其他访问管理员屏幕的用户浏览器上执行任意脚本。 6. 解决方案: - 更新插件 - 更新插件到开发人员提供的信息。 - 开发者已发布以下版本来解决此漏洞: - WP Admin UI Customize ver 1.5.14 7. 供应商状态: - gqevu6bsiz - WP Admin UI Customize - WP Admin UI Customize Update (1.5.14) (Text in Japanese) 8. 参考: - JPCERT/CC Addendum 9. CVSS评分: - CVSS v3: 3.0/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N - 基础分数: 4.8 10. 信用: - Ibuki Sato报告了此漏洞给IPA。 - JPCERT/CC与开发人员在信息安全早期预警伙伴关系下协调。 11. 其他信息: - JPCERT Alert - JPCERT Reports - CERT Advisory - CPNI Advisory - TRnotes - CVE: CVE-2024-53278 - JVN iPedia: JVNDB-2024-000121 总结 这个漏洞是WordPress插件“WP Admin UI Customize”中的跨站脚本攻击(Cross-site Scripting, XSS)漏洞,影响了版本1.5.14之前的版本。通过更新到1.5.14版本可以解决此问题。