wpDiscuz до версии 7.6.47 содержит уязвимость межсайтового скриптинга, которая позволяет злоумышленникам внедрять вредоносный код через неэкранированные URL-адреса вложений в выходные данные HTML, используя класс WpdiscuzHelperUpload. Злоумышленники могут создавать записи вредоносных вложений или фильтровать перехватчики для внедрения произвольного кода JavaScript в атрибуты тегов img и привязки, выполняя код в контексте просмотра комментариев пользователями WordPress.
Показать оригинальное описание (EN)
wpDiscuz before 7.6.47 contains a cross-site scripting vulnerability that allows attackers to inject malicious code through unescaped attachment URLs in HTML output by exploiting the WpdiscuzHelperUpload class. Attackers can craft malicious attachment records or filter hooks to inject arbitrary JavaScript into img and anchor tag attributes, executing code in the context of WordPress users viewing comments.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Gvectors Wpdiscuz
cpe:2.3:a:gvectors:wpdiscuz:*:*:*:*:*:wordpress:*:*
|
— |
7.6.47
|