基本信息
标题:WordPress bbPress 插件 XSS 漏洞
简介:
漏洞存在于 WordPress 插件 bbPress /wp-content/plugins/bbpress/includes/core/functions.php 文件中,攻击者通过用户提及功能(即@用户名,而 bbPress 的用户提及功能能够将@用户名替换成另外一个链接,创建了一个嵌套链接的HTML结构),可在论坛文章中存储恶意代码。而这些文章会被存在到数据库中,后面会展示给随后的访问者。如果攻击者有着更加成熟的技术,可通过这种方法从版主或者管理员处窃取 cookies,以管理员身份进行操作,实现提权。
解决方案:
方案一:使用云盾自研补丁进行一键修复;
方案二:更新该软件到官方最新版本或寻求该软件提供商的帮助。
【注意:该补丁为云盾自研代码修复方案,云盾会根据您当前代码是否符合云盾自研的修复模式进行检测,如果您自行采取了底层/框架统一修复、或者使用了其他的修复方案,可能会导致您虽然已经修复了该漏洞,云盾依然报告存在漏洞,遇到该情况可选择忽略该漏洞提示】
说明
路径:/wp-content/plugins/bbpress/includes/core/functions.php
修复命令/修复方法: