漏洞标题
WP Postratings < 1.86.1 - 管理员+ 储存的跨站脚本攻击
漏洞描述信息
WP-PostRatings WordPress 插件在 1.86.1 之前的版本没有对从其选项页面(wp-admin/admin.php?page=wp-postratings/postratings-options.php)上获取的 postratings_image 参数进行过滤。尽管该页面只能由管理员访问,并且受到 CSRF 攻击的保护,但当未过滤的 HTML 能力被禁用时,这个问题仍然可以被利用。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
漏洞类别
跨站请求伪造(CSRF)
漏洞标题
WP Postratings < 1.86.1 - Admin+ Stored Cross-Site Scripting
漏洞描述信息
The WP-PostRatings WordPress plugin before 1.86.1 does not sanitise the postratings_image parameter from its options page (wp-admin/admin.php?page=wp-postratings/postratings-options.php). Even though the page is only accessible to administrators, and protected against CSRF attacks, the issue is still exploitable when the unfiltered_html capability is disabled.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
WordPress plugin WP-PostRatings 安全漏洞
漏洞描述信息
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。 WordPress plugin WP-PostRatings 1.86.1 版本之前存在安全漏洞,该漏洞源于不会清理其选项页面中的 postratings_image 参数。
CVSS信息
N/A
漏洞类别
其他