目標達成 すべての支援者に感謝 — 100%達成しました!

目標: 1000 CNY · 調達済み: 1336 CNY

100%
コーヒーを一杯おごる

CVE-2022-0150— WordPress plugin WP Accessibility Helper (WAH) 跨站脚本漏洞

AI Predicted 6.1 Difficulty: Easy EPSS 1.72% · P75

Public Exploits 1

Nuclei · 1 CVE-2022-0150.yaml [template]
新しい脆弱性情報の通知を購読するログインして購読

I. CVE-2022-0150の基本情報

脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗

高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。

脆弱性タイトル
WP Accessibility Helper (WAH) < 0.6.0.7 - Reflected Cross-Site Scripting (XSS)
ソース: NVD (National Vulnerability Database)
脆弱性説明
The WP Accessibility Helper (WAH) WordPress plugin before 0.6.0.7 does not sanitise and escape the wahi parameter before outputting back its base64 decode value in the page, leading to a Reflected Cross-Site Scripting issue
ソース: NVD (National Vulnerability Database)
CVSS情報
N/A
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
WordPress plugin WP Accessibility Helper (WAH) 跨站脚本漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
WordPress是Wordpress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是WordPress开源的一个应用插件。 WordPress plugin WP Accessibility Helper (WAH) 插件0.6.0.7之前版本存在跨站脚本漏洞,该漏洞源于插件在输出页面中的base64解码值之前,没有对wahi参数进行清理和转义,攻击者可利用该漏洞执行跨站点脚本攻击。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)

影響を受ける製品

ベンダープロダクト影響を受けるバージョンCPE購読
UnknownWP Accessibility Helper (WAH) 0.6.0.7 ~ 0.6.0.7 -

II. CVE-2022-0150の公開POC

#POC説明ソースリンクShenlongリンク
1WordPress Accessibility Helper plugin before 0.6.0.7 contains a cross-site scripting vulnerability. It does not sanitize and escape the wahi parameter before outputting back its base64 decode value in the page. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2022/CVE-2022-0150.yamlPOC詳細
AI生成POCプレミアム

公開POCは見つかりませんでした。

ログインしてAI POCを生成

III. CVE-2022-0150のインテリジェンス情報

登录查看更多情报信息。

CVE-2022-0150 补丁与修复 (1)

CVE-2022-0150 厂商安全公告 (1)

Same Patch Batch · Unknown · 2022-02-28 · 37 CVEs total

CVE-2022-0328Simple Membership < 4.0.9 - Arbitrary Member Deletion via CSRF
CVE-2021-25011WP Google Map < 1.8.1 - Subscriber+ Arbitrary Post Deletion and Plugin's Settings Update
CVE-2021-25034WP User < 7.0 - Reflected Cross-Site Scripting
CVE-2021-25042WP Visitor Statistics (Real Time Traffic) < 5.5 - Arbitrary IP Address Exclusion to Stored
CVE-2021-25081WP Google Map < 1.8.4 - Arbitrary Post Deletion and Plugin's Settings Update via CSRF
CVE-2021-25112WHMCS Bridge < 6.4b - Reflected Cross-Site Scripting (XSS)
CVE-2021-25118Yoast SEO 16.7-17.2 - Unauthenticated Full Path Disclosure
CVE-2021-4222WP Paginate < 2.1.4 - Admin+ Stored Cross-Site Scripting
CVE-2022-0189WP RSS Aggregator < 4.20 - Reflected Cross-Site Scripting (XSS)
CVE-2021-25010Post Snippets < 3.1.4 - CSRF to Stored Cross-Site Scripting
CVE-2022-0345Better Notifications for WP < 1.8.7 - Email Address Disclosure
CVE-2022-0360WP Ultimate CSV Importer < 6.4.3 - Admin+ Stored Cross-Site Scripting
CVE-2022-0377LearnPress < 4.1.5 - Arbitrary Image Renaming
CVE-2022-0383WP Review Slider < 11.0 - Admin+ SQL Injection
CVE-2022-0385Crazy Bone <= 0.6.0 - Unauthenticated Stored XSS
CVE-2022-0411Asgaros Forum < 2.0.0 - Subscriber+ Blind SQL Injection
CVE-2022-23911AP Custom Testimonial < 1.4.8 - Admin+ SQL Injection
CVE-2022-23912AP Custom Testimonial < 1.4.8 - Reflected Cross-Site Scripting
CVE-2021-24898EditableTable <= 0.1.4 - Admin+ Stored Cross-Site Scripting
CVE-2021-24688Orange Form <= 1.0.1 - Unauthenticated Arbitrary Post Deletion

Showing 20 of 37 CVEs. View all on vendor page →

IV. 関連脆弱性

同じ製品: WP Accessibility Helper (WAH)
同じベンダー: Unknown
同じ弱点: CWE-79

V. CVE-2022-0150へのコメント

まだコメントはありません

コメントを残す