加入收藏 |

重大预警CVE-2022-33994

作者: 时间:2022-09-04 点击数:

漏洞描述

WordPress 13.7.3版的Gutenberg插件允许参与者角色通过SVG文档将存储的XSS添加到“从URL插入”功能中。注意:XSS负载不在WordPress实例域的上下文中执行;然而,一些类似的产品阻止了低权限用户引用SVG文档的类似尝试,这种行为差异可能与一些WordPress网站管理员具有安全相关性。

 

分析说明

通过对通过 URL 加载的 SVG 文件的不正确验证,将 XSS 存储在 WordPress 中。

严重性

中等

范围

WordPress 13.7.3

解决方案

https://patchstack.com/articles/patchstack-weekly-svg-xss-reported-in-gutenberg/


Copyright© 2019 All Rights Reserved.郑州大学网络管理中心版权所有