关键信息 漏洞描述 漏洞名称: WP-Geshi-Highlight <= 1.4.3 - Author+ ReDoS 影响插件: wp-geshi-highlight CVE编号: CVE-2024-13896 发现者: Pierre Rudloff 提交者: Pierre Rudloff 验证状态: Yes WPVDB ID: b8b622ea-e090-45ad-8755-b050fc055231 时间线 公开发布日期: 2025-03-20 添加日期: 2025-03-20 最后更新日期: 2025-03-20 漏洞详情 描述: 插件通过 函数将用户提供的输入作为正则表达式处理,可能导致正则表达式拒绝服务(ReDoS)问题。 概念验证: 1. 安装插件。 2. 生成有效载荷(例如在PHP中使用 )。 3. 以管理员身份发布包含有效载荷的新帖子。 4. 监控服务器的CPU使用率和负载。 5. 触发20个并发请求到包含有效载荷的页面。 参考资料 其他相关漏洞: - PS PHPCaptcha < 1.2.0 - Denial of Service (2019-02-16) - Popup - GiveWP < 2.21.3 - DoS via CSRF (2022-07-11) - WordPress 4.5.2 - oEmbed Denial of Service (DoS) (2016-06-21) - BuddyPress < 5.1.1 - Denial of Service (2019-12-23) 其他信息 修复情况: 尚无已知修复措施。