关键漏洞信息 描述 插件在stats视图中输出 'ga_action' 参数时,未对其进行清理或转义,导致当插件连接到Google Analytics账户时,发生反射型跨站脚本(XSS)问题,影响已登录的管理员。 影响插件 googleanalytics:2.5.2版本已修复 引用 CVE:CVE-2021-24438 分类 类型:XSS OWASP Top 10:A7 跨站脚本(XSS) CWE:CWE-79 CVSS:7.1(高) 其他信息 研究人员:renniepak 提交人:renniepak 验证:已验证 WPVDB ID:af472879-9328-45c2-957f-e7bed77e4c2d 时间线 公开发布:2021-08-02(约4年前) 添加时间:2021-08-02(约4年前) 最后更新:2022-02-24(约3年前) 其他相关漏洞 Photolio - VideoJS Cross-Site Scripting:2014-08-01 Comment Guestbook <= 0.8.0 - Admin+ Stored Cross-Site Scripting:2022-09-26 Parsi Date < 4.0.2 - Reflected Cross-Site Scripting:2023-01-23 WordPress Infinite Scroll - Ajax Load More < 7.4.1 - Authenticated(Contributor+) Stored Cross-Site Scripting:2025-06-16 WPFront Notification Bar < 2.0.0.07176 - Authenticated Stored XSS:2021-07-11