TWChat – 发送或接收来自 <= 4.0.4 的用户的消息 - 反射型跨站脚本

TWChat – 发送或接收来自 <= 4.0.4 的用户的消息 - 反射型跨站脚本 (CVE-2024-11374) CVE编号 CVE-2024-11374 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-07 漏洞描述 WordPress插件TWChat存在反射跨站脚本漏洞，该插件用于发送或接收用户消息。在包括4.0.4版本在内的所有版本中，URL使用remove_query_arg函数未进行适当的转义操作。这使得未经身份验证的攻击者能够在页面中注入任意Web脚本，如果攻击者能够成功诱使用户执行某个操作（例如点击链接），这些脚本就会执行。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接 https://plugins.trac.wordpress.org/browser/twchat/tags/4.0.3/classes/Addon_co... https://www.wordfence.com/threat-intel/vulnerabilities/id/3cb047d0-0056-432c-...