一、 漏洞 CVE-2024-1128 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
导师LMS – WordPress插件的eLearning和在线课程解决方案,在所有版本,包括2.6.0在内,都存在HTML注入漏洞。这是由于问答功能中对HTML输入的清理不足导致的。这使得经过身份验证的攻击者,只要拥有学生访问权限或更高权限,就能够向网站注入任意HTML代码,尽管它不允许跨站脚本攻击(Cross-Site Scripting, XSS)。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
来源:AIGC 神龙大模型
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The Tutor LMS – eLearning and online course solution plugin for WordPress is vulnerable to HTML Injection in all versions up to, and including, 2.6.0. This is due to insufficient sanitization of HTML input in the Q&A functionality. This makes it possible for authenticated attackers, with Student access and above, to inject arbitrary HTML onto a site, though it does not allow Cross-Site Scripting
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
WordPress Plugin Tutor LMS 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。 WordPress Plugin Tutor LMS 2.6.0 版本及之前版本存在安全漏洞,该漏洞源于容易受到 HTML 注入的攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-1128 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-1128 的情报信息