关键信息 漏洞描述 插件名称: WordPress Plugin "Advanced Custom Fields" 插件版本: 6.3.5 及更早版本 受影响产品: Advanced Custom Fields 和 Advanced Custom Fields Pro 漏洞类型: 跨站脚本攻击 (Cross-site scripting, XSS) 影响 攻击者权限: 需要具有 'capability' 设置权限 攻击者行为: 在字段标签中存储任意脚本 执行环境: 被登录用户的浏览器,具有与攻击者相同的权限 解决方案 更新插件: 更新到 6.3.6 版本 链接: Advanced Custom Fields version 6.3.6 链接: Advanced Custom Fields Pro 6.3.6 厂商状态 厂商: WP Engine 链接: ACF 6.3.6 Security Release 链接: Advanced Custom Fields 链接: Advanced Custom Fields for WordPress Developers 参考 CVSS v3: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N 基分值: 5.4 信用 报告者: Ryo Sotoyama 报告机构: Mitsui Bussan Secure Directions, Inc. 协调机构: JPCERT/CC 报告方式: Information Security Early Warning Partnership 其他信息 JPCERT Alert JPCERT Reports CERT Advisory CPNI Advisory TRnotes CVE: CVE-2024-45429 JVN iPedia: JVNDB-2024-000093 版权 版权: JPCERT/CC and IPA. All rights reserved.