目標達成 すべての支援者に感謝 — 100%達成しました!

目標: 1000 CNY · 調達済み: 1000 CNY

100.0%
コーヒーを一杯おごる

CVE-2021-24425— WordPress 跨站脚本漏洞

EPSS 0.21% · P43
新しい脆弱性情報の通知を購読するログインして購読

I. CVE-2021-24425の基本情報

脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗

高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。

脆弱性タイトル
myStickymenu < 2.5.2 - Authenticated Stored XSS
ソース: NVD (National Vulnerability Database)
脆弱性説明
The Floating Notification Bar, Sticky Menu on Scroll, and Sticky Header for Any Theme – myStickymenu WordPress plugin before 2.5.2 does not sanitise or escape its Bar Text settings, allowing hight privilege users to use malicious JavaScript in it, leading to a Stored Cross-Site Scripting issue, which will be triggered in the plugin's setting, as well as all front-page of the blog (when the Welcome bar is active)
ソース: NVD (National Vulnerability Database)
CVSS情報
N/A
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
WordPress 跨站脚本漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
WordPress是WordPress(Wordpress)基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。 WordPress plugin MyStickymenu 中存在跨站脚本漏洞,该漏洞源于产品的 Floating Notification Bar,Sticky Menu on Scroll 和 Sticky Header 未能正确处理输入的特殊字符。攻击者可通过该漏洞引发客户端代码执行。 以下产品及版本受到影响:MyStickymenu 2.
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)

影響を受ける製品

ベンダープロダクト影響を受けるバージョンCPE購読
UnknownFloating Notification Bar, Sticky Menu on Scroll, and Sticky Header for Any Theme – myStickymenu 2.5.2 ~ 2.5.2 -

II. CVE-2021-24425の公開POC

#POC説明ソースリンクShenlongリンク
AI生成POCプレミアム

公開POCは見つかりませんでした。

ログインしてAI POCを生成

III. CVE-2021-24425のインテリジェンス情報

登录查看更多情报信息。

Same Patch Batch · Unknown · 2021-08-02 · 26 CVEs total

CVE-2021-24474Awesome Weather Widget <= 3.0.2 - Reflected Cross-site Scripting (XSS)
CVE-2021-24444TaxoPress < 3.0.7.2 - Authenticated Stored Cross-Site Scripting (XSS)
CVE-2021-24371RSVPMaker < 8.7.3 - Authenticated (admin+) SSRF
CVE-2021-24428RSS for Yandex Turbo <= 1.30 - Authenticated Stored XSS
CVE-2021-24430Speed Booster Pack 4.2.0-beta - Authenticated (admin+) RCE
CVE-2021-24443Youzify < 1.0.7 - Stored Cross-Site Scripting via Biography
CVE-2021-24448Profile Builder < 3.4.8 - Authenticated Stored XSS
CVE-2021-24450ProfilePress < 3.1.8 - Authenticated Stored XSS
CVE-2021-24455Tutor LMS < 1.9.2 - Authenticated Stored Cross-Site Scripting (XSS)
CVE-2021-24464YouTube Embed, Playlist and Popup < 2.3.9 - Contributor+ Stored XSS
CVE-2021-24468Leaflet Map < 3.0.0 - Contributor+ Stored XSS
CVE-2021-24470Yada Wiki < 3.4.1 - Contributor+ Stored XSS
CVE-2021-24473User Profile Picture < 2.6.0 - Arbitrary User Picture Change/Deletion via IDOR
CVE-2021-24504WP LMS <= 1.1.2 - Stored Cross-Site Scripting (XSS)
CVE-2021-24476Steam Group Viewer <= 2.1 - Authenticated Stored Cross-Site Scripting (XSS)
CVE-2021-24477Migrate Users <= 1.0.1 - CSRF to Stored Cross-Site Scripting (XSS)
CVE-2021-24478Bookshelf <= 2.0.4 - Authenticated Stored Cross-Site Scripting (XSS)
CVE-2021-24479DrawBlog <= 0.90 - Authenticated Stored Cross-Site Scripting (XSS)
CVE-2021-24480Event Geek <= 2.5.2 - Stored Cross-site Scripting (XSS)
CVE-2021-24481Any Hostname <= 1.0.6 - Authenticated Stored Cross-Site Scripting (XSS)

Showing 20 of 26 CVEs. View all on vendor page →

IV. 関連脆弱性

同じベンダー: Unknown
同じ弱点: CWE-79

V. CVE-2021-24425へのコメント

まだコメントはありません

コメントを残す