漏洞标题
以下是这段内容的中文翻译:
10Web 图片画廊 - 移动友好的图片画廊 <= 1.8.23 - 认证(贡献者+)通过压缩SVG进行跨站脚本攻击
这段内容涉及到一个安全漏洞,即在使用10Web图片画廊<=1.8.23版本时,存在认证后的(贡献者+)用户通过压缩的SVG文件进行跨站脚本攻击(Cross-Site Scripting, XSS)的可能性。跨站脚本攻击是一种常见的网站安全漏洞,攻击者可以通过在网页中注入恶意脚本来窃取用户信息、执行未经授权的操作或导致其他安全问题。在本情况下,攻击者可能利用这个漏洞在网页中嵌入恶意脚本,从而对访问该网页的用户造成潜在危害。
漏洞描述信息
10Web的Photo Gallery插件 - 适用于WordPress的移动友好图片画廊插件,在所有版本直至且包括1.8.23中,通过'svg'参数存在存储型跨站脚本攻击漏洞,原因是输入清洗不足和输出转义不充分。这使得已授权的攻击者可以通过在用户访问注入页面时执行任意Web脚本来注入页面。默认情况下,此漏洞仅可由管理员利用,但可以根据插件的pro版本的配置和使用功能扩展至插件的贡献者。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
漏洞标题
Photo Gallery by 10Web – Mobile-Friendly Image Gallery <= 1.8.23 - Authenticated (Contributor+) Stored Cross-Site Scripting via Zipped SVG
漏洞描述信息
The Photo Gallery by 10Web – Mobile-Friendly Image Gallery plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the ‘svg’ parameter in all versions up to, and including, 1.8.23 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page. By default, this can only be exploited by administrators, but the ability to use and configure Photo Gallery can be extended to contributors on pro versions of the plugin.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
漏洞类别
N/A
漏洞标题
WordPress plugin Photo Gallery by 10Web 安全漏洞
漏洞描述信息
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。 WordPress plugin Photo Gallery by 10Web 1.8.23 版本及之前版本存在安全漏洞,该漏洞源于通过 svg 参数,容易受到存储型跨站点脚本攻击。
CVSS信息
N/A
漏洞类别
其他