发布日期:2023-07-01
更新日期:2023-09-14
受影响系统:
WordPress WordPress ElasticPress Plugin < ="3.5.3
描述:
CVE(CAN) ID: CVE-2021-4405
WordPress和WordPress plugin都是WordPress基金会的产品,WordPress是一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站,WordPress plugin是一个应用插件。
WordPress ElasticPress Plugin 3.5.3及之前版本存在跨站请求伪造漏洞,该漏洞源于epio_send_autosuggest_allowed()函数缺少随机数验证模块,未经身份验证的攻击者可利用该漏洞通过伪造的请求向elasticpress[.]io发送允许的自动建议参数,诱骗网站管理员执行诸如单击链接之类的操作。
< **>
建议:
厂商补丁:
WordPress
---------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
https://plugins.trac.wordpress.org/changeset/2473455/elasticpress/trunk/includes/classes/Feature/Autosuggest/Autosuggest.php
浏览次数:29
严重程度:0(网友投票)
