WordPress 跨站脚本漏洞

2020-10-09 10:42:41

CNVD-ID CNVD-2020-54948

公开日期 2020-10-08

危害级别 中 

影响产品 WordPress Ultimate Appointment Booking & Scheduling <=1.1.9

CVE ID CVE-2020-24313 

漏洞描述 WordPress是一种使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站。在国际上广泛使用了,可以兼容自开发的插件。功能强大,应用广泛。Ultimate Appointment Booking & Scheduling插件让客户使用易于使用的日历和预订表格直接在网站上安排约会。


Ultimate Appointment Booking & Scheduling v1.1.9及之前版本存在跨站脚本漏洞。该漏洞与受影响版本未能正确验证客户端数据有关。Ultimate Appointment Booking & Scheduling在将其回显到输入标签之前未清理“ Appointment_ID” GET参数的值,这导致了反射型XSS漏洞,攻击者可以使用特制URL加以利用。攻击者可利用该漏洞执行客户端代码。

漏洞类型 通用型漏洞


源链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-54948/