- 该话题包含 1 个回复,2 人参与,最后由
更新于 4年、 1月 前 。
正在查看 2 个帖子:1-2 (共 2 个帖子)
-
帖子
-
阿里云提示:
漏洞存在于wordpress插件bbpress /wp-content/plugins/bbpress/includes/core/functions.php文件中,攻击者通过用户提及功能(即@用户名,而bbPress的用户提及功能能够将@用户名替换成另外一个链接,创建了一个嵌套链接的HTML结构),可在论坛文章中存储恶意代码。而这些文章会被存在到数据库中,后面会展示给随后的访问者。如果攻击者有着更加成熟的技术,可通过这种方法从版主或者管理员处窃取cookies,以管理员身份进行操作,实现提权。
但我看到bbpress官网还是2.6.4,没有升级版本,请问这个漏洞怎么修复啊?谢谢!
正在查看 2 个帖子:1-2 (共 2 个帖子)
- 哎呀,回复话题必需登录。
未找到对应子版块?请直接在 [疑难杂症] 版块中发帖提问。
