漏洞标题
Slide Anything < 2.3.47 - 作者存在+跨站脚本注入在幻灯片标题中。
漏洞描述信息
Slide Anything WordPress 插件在2.3.47版本以前,没有正确地对幻灯片标题进行清理或转义,然后在管理页面输出,允许有作者角色或更低角色的已登录用户在幻灯片标题中注入JavaScript负载,即使未过滤HTML功能被禁用也是如此。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
漏洞标题
Slide Anything < 2.3.47 - Author+ Cross Site Scripting in slide title
漏洞描述信息
The Slide Anything WordPress plugin before 2.3.47 does not properly sanitize or escape the slide title before outputting it in the admin pages, allowing a logged in user with roles as low as Author to inject a javascript payload into the slide title even when the unfiltered_html capability is disabled.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
WordPress plugin Slide Anything 安全漏洞
漏洞描述信息
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。 WordPress plugin Slide Anything 2.3.47 版本之前存在安全漏洞,该漏洞源于在管理页面中输出幻灯片标题之前,无法正确清理或转义幻灯片标题,即使在禁用 unfiltered_html 功能的情况下,也允许角色低至作者的登录用户将
CVSS信息
N/A
漏洞类别
其他