关联漏洞
标题:
WordPress 跨站脚本漏洞
(CVE-2021-24522)
描述:WordPress是WordPress(Wordpress)基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。 WordPress插件 ProfilePress 存在跨站脚本漏洞,该漏洞源于用户注册,用户配置文件,登录和会员注册小部件没有正确逃脱,可能被用于XSS攻击,从而导致WP -admin访问。此外,插件在一些地方将$ POST赋值为$ GET,这意味着在某些情况下,这可以只使用$ GET参数复制,而不需要$ POST值。
描述
The ProfilePress plugin for WordPress before 3.1.11 is vulnerable to unauthenticated reflected cross-site scripting (XSS) via the tabbed login/register widget due to improper escaping of user input. Attackers can inject arbitrary JavaScript via the tabbed-login-name parameter.
文件快照
id: CVE-2021-24522
info:
name: ProfilePress < 3.1.11 - Cross-Site Scripting
author: ritikchaddh
...
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮箱到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对POC代码进行快照,为了长期维护,请考虑为本地POC付费,感谢您的支持。