漏洞标题
N/A
漏洞描述信息
**争议**
WordPress Lanoba Social插件1.0中lanoba-social-plugin/index.php文件中的跨站点脚本(XSS)漏洞允许远程攻击者通过动作参数 inject任意的网页脚本或HTML。请注意:供应商对此表示争议,称“Lanoba插件确实净化了用户输入,但由于该输入从未发送到浏览器,攻击者无法代表用户执行脚本或代码。”
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Cross-site scripting (XSS) vulnerability in lanoba-social-plugin/index.php in the Lanoba Social plugin 1.0 for WordPress allows remote attackers to inject arbitrary web script or HTML via the action parameter. NOTE: the vendor disputes this issue, stating "Lanoba's plug in does sanitize user input, and because that input is never sent to the browser, an attacker has no way of executing script or code on a user's behalf.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
WordPress Lanoba Social 插件 ‘action’ 参数跨站脚本漏洞
漏洞描述信息
WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。 WordPress的Lanoba Social插件中存在跨站脚本漏洞。该漏洞源于对用户提供的输入没有经过正确的过滤,攻击者可利用该漏洞在受影响站点上下文的不知情用户浏览器中执行任意脚本代码,盗取基于cookie的认证证书进而发起其他攻击。Lanoba Social Plugin 1.0版本中存在该漏洞,其他的版本也可能受影响。
CVSS信息
N/A
漏洞类别
跨站脚本