WordPress jQuery Hover Footnotes <= 1.4 Stored XSS via Footnote Qualifier (CVE-2026-10738)

漏洞概述 漏洞名称: jQuery Hover Footnotes <= 1.4 - Authenticated (Author+) Stored Cross-Site Scripting via Footnote Qualifier ('{...}') Syntax CVE ID: CVE-2026-10738 CVSS 评分: 6.4 (Medium) 发布日期: 2026年6月8日 最后更新日期: 2026年6月9日 研究人员: nishida azuka 影响范围 软件类型: Plugin 软件名称: jQuery Hover Footnotes 受影响版本: <= 1.4 修复状态: 无已知补丁 修复方案 当前状态: 无已知补丁可用。 建议措施: 请根据组织风险容忍度，深入审查漏洞详情并采取缓解措施。可能需要卸载受影响的软件并寻找替代品。 漏洞描述 jQuery Hover Footnotes 插件在 WordPress 中存在存储型跨站脚本（XSS）漏洞。该漏洞允许具有作者级别权限的攻击者注入任意网页脚本，当用户访问包含注入脚本的页面时执行。攻击者可以通过使用双引号后跟事件处理程序来绕过 WordPress 核心的 过滤，仅剥离不允许的 HTML 标签，而不是清理属性上下文。 参考链接 plugins.trac.wordpress.org plugins.trac.wordpress.org plugins.trac.wordpress.org 其他信息 免责声明: 该记录包含受版权保护的材料。 联系方式: 如有任何错误或需要添加信息，请联系 wfi-support@wordfence.com。 相关漏洞 标题: jQuery Hover Footnotes <= 1.4 - Cross-Site Request Forgery to Plugin Settings Update CVE ID: CVE-2026-10553 CVSS 评分: 4.3 研究人员: nishida azuka 日期: 2026年6月8日 总结 该页面详细描述了 jQuery Hover Footnotes 插件中的一个存储型跨站脚本漏洞，提供了漏洞的基本信息、影响范围、修复建议以及相关参考链接。目前没有已知的补丁，建议用户根据组织风险容忍度采取相应措施。

目標達成すべての支援者に感謝 — 100%達成しました！

WordPress jQuery Hover Footnotes <= 1.4 Stored XSS via Footnote Qualifier (CVE-2026-10738)

このソースからの他の記事

目標達成 すべての支援者に感謝 — 100%達成しました！

WordPress jQuery Hover Footnotes <= 1.4 Stored XSS via Footnote Qualifier (CVE-2026-10738)

このソースからの他の記事

目標達成すべての支援者に感謝 — 100%達成しました！