关联漏洞
标题:
Wordpress Plugin SupportCandy 跨站脚本漏洞
(CVE-2021-24878)
描述:WordPress是Wordpress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是WordPress开源的一个应用插件。 Wordpress Plugin SupportCandy 中存在跨站脚本漏洞,该漏洞源于产品未对wpsc_create_ticket字段数据中的特殊字符进行有效处理。攻击者可通过该漏洞执行客户端代码。以下产品及版本受到影响:Wordpress Plugin SupportCandy 2.2.7
描述
The SupportCandy WordPress plugin before 2.2.7 does not sanitise and escape the query string before outputting it back in pages with the [wpsc_create_ticket] shortcode embed, leading to a Reflected Cross-Site Scripting issue
文件快照
id: CVE-2021-24878
info:
name: SupportCandy < 2.2.7 - Reflected Cross-Site Scripting
author: po
...
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮箱到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对POC代码进行快照,为了长期维护,请考虑为本地POC付费,感谢您的支持。