关键信息 漏洞名称: WordPress Plugin Vulnerabilities - WP Photo Album Plus < 8.0.10 - Stored Cross-Site Scripting (XSS) 描述: 该插件存在存储型跨站脚本(XSS)漏洞。由于错误日志内容处理不当,任何用户,即使是未授权的用户,也可能在管理面板中执行任意JavaScript代码。 证明概念: - 攻击者可利用的URL示例: - 管理员需要访问 以查看错误日志内容并看到XSS效果。 影响的插件: wp-photo-album-plus - 修复版本: 8.0.10 参考: - CVE编号: CVE-2021-25115 - 修复代码提交链接: 分类: - 类型: XSS (跨站脚本攻击) - OWASP Top 10分类: A7: 跨站脚本 - CWE编号: CWE-79 - CVSS评分: 4.8 (中等) 其他信息: - 原始研究者: Krzysztof Zając - 提交者: Krzysztof Zając - 提交者网站: - 验证状态: 已验证 - WPVDB ID: dbc18c2c-7547-44fc-8a41-c819757e47a7 时间线: - 公开发布: 2022-01-02(大约3年前) - 添加到数据库: 2022-01-14(大约3年前) - 最后更新: 2022-04-12(大约3年前)