- 該話題包含 1 個回覆,2 人蔘與,最後由
更新於 5 年、 3 月前 。
正在查看 2 個帖子:1-2 (共 2 個帖子)
-
帖子
-
阿里雲提示:
漏洞存在於 wordpress 插件 bbpress /wp-content/plugins/bbpress/includes/core/functions.php 文件中,攻擊者通過用户提及功能 (即 @用户名,而 bbPress 的用户提及功能能夠將 @用户名替換成另外一個鏈接,創建了一個嵌套鏈接的 HTML 結構),可在論壇文章中存儲惡意代碼。而這些文章會被存在到數據庫中,後面會展示給隨後的訪問者。如果攻擊者有着更加成熟的技術,可通過這種方法從版主或者管理員處竊取 cookies,以管理員身份進行操作,實現提權。
但我看到 bbpress 官網還是 2.6.4,沒有升級版本,請問這個漏洞怎麼修復啊?謝謝!
正在查看 2 個帖子:1-2 (共 2 個帖子)
- 哎呀,回覆話題必需登錄。
