Elfsight Telegram Chat CC <= 1.1.0 - 缺少对经过身份验证的(订阅者+)存储跨站点脚本的授权(CVE-2024-10390)
CVE编号
CVE-2024-10390
利用情况
暂无
补丁情况
N/A
披露时间
2024-11-19
漏洞描述
Elfsight Telegram Chat CC插件的WordPress版本中存在一个漏洞,该漏洞可能导致未经授权的修改数据。在版本1.1.0及更早版本中,'updatePreferences'函数缺少能力检查。这使得经过身份验证的攻击者(拥有订阅者级别及以上的访问权限)能够在页面中注入任意Web脚本,每当用户访问注入的页面时,脚本就会执行。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
文章评论