关键漏洞信息 CVE编号: CVE-2020-1304 CVSS评分: 4.4 (中等) 公开发布日期: 2020年2月17日 最后更新日期: 2020年2月18日 研究员: Miguel Santareno 软件类型: 插件 软件Slug: restrict-content 是否已修复: 是 修复建议: 升级到版本3.2.19或更新的修复版本 受影响的版本: <= 3.2.18 修复版本: 3.2.19 描述 会员插件 - 限制WordPress的内容对跨站点脚本容易存储通过在多个发票设置字段中的多个版本,包括3.2.18.由于在输入端的数据清洗和输出转义不充分,这使得管理员级别的经过身份验证的攻击者可以向页面注入任意的web脚本,该脚本将在用户访问受感染的页面时执行。 参考文献 plugins.trac.wordpress.org plugins.trac.wordpress.org plugins.trac.wordpress.org plugins.trac.wordpress.org plugins.trac.wordpress.org plugins.trac.wordpress.org plugins.trac.wordpress.org plugins.trac.wordpress.org plugins.trac.wordpress.org plugins.trac.wordpress.org