关联漏洞
标题:WordPress和W3 Total Cache 跨站脚本漏洞 (CVE-2021-24436)Description:WordPress是WordPress(Wordpress)基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。W3 Total Cache是一款网站缓存插件。 WordPress插件 W3 Total Cache 存在跨站脚本漏洞,该漏洞源于在扩展仪表板的“扩展”参数中,它以一个属性的形式输出,没有首先被转译。这可能会让攻击者可利用该漏洞在用户的web浏览器中运行恶意JavaScript,从而导致整个站点被破坏。攻击者可利用该漏洞可以说服经过认证的管理员点
Description
WordPress W3 Total Cache plugin before 2.1.4 is susceptible to cross-site scripting within the extension parameter in the Extensions dashboard, which is output in an attribute without being escaped first. This can allow an attacker to convince an authenticated admin into clicking a link to run malicious JavaScript within the user's web browser, which could lead to full site compromise.
文件快照
id: CVE-2021-24436
info:
name: WordPress W3 Total Cache <2.1.4 - Cross-Site Scripting
author: t
...
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮件到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对 POC 代码进行快照,为了长期维护,请考虑为本地 POC 付费/捐赠,感谢您的支持。