Kudos 捐赠 – 使用 Mollie <= 3.2.9 轻松捐赠和付款 - 通过“add_query_arg”反映跨站点脚本 (CVE-2024-11685)
CVE编号
CVE-2024-11685
利用情况
暂无
补丁情况
N/A
披露时间
2024-11-28
漏洞描述
WordPress中的“Kudos Donations - 使用Mollie轻松捐赠和支付”插件存在反射型跨站脚本攻击漏洞。该漏洞是由于在版本3.2.9及之前所有版本中,使用`add_query_arg`函数在URL上未进行适当的转义处理导致的。这使得未经身份验证的攻击者能够注入任意Web脚本,如果成功诱导用户执行某个操作(例如点击恶意链接),这些脚本就会执行。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
文章评论