关键漏洞信息 插件名称: HTML in Category Descriptions 版本: 1.2.4 插件URI: http://wordpress.org/extend/plugins/allow-html-in-category-descriptions/ 作者: Arno Estherhuizen 最新更改: 在文件 上于 版本进行更改,由 提交,时间是 2 年前。 漏洞相关代码 关键函数: 作用: 在某些情况下禁用 Kses 过滤器。 条件: 当当前用户有 权限时。 受影响的过滤器: - Textarea 输入字段相关的过滤器( , , , )。 - 文本区域管理显示相关的过滤器( , , , )。 安全考虑 代码逻辑: 该插件绕过了一些默认的安全过滤(Kses),允许在分类描述中使用未过滤的 HTML。这对于有 权限的用户是有用的,但如果权限管理不当,可能导致潜在的安全风险,如XSS(跨站脚本攻击)。 备注 请注意,直接禁用安全过滤器可能对没有足够权限的用户造成安全风险。应确保正确的权限管理,以防止未授权的HTML注入。