WordPress最新DOM XSS漏洞[4.2.2 fix]

2021-05-08 0 695

WordPress 被爆 DOM XSS 漏洞,数百万站点受影响,危险等级为极高。

该漏洞存在于 WordPress 流行的 Genericons example.html 页面中,默认主题 Twenty Fifteen 及知名插件 Jetpack 都内置了该页面,由于 example.html 使用了老版本存在 DOM XSS 缺陷的 jQuery,且使用不当,导致出现 DOM XSS,这种攻击将无视浏览器的 XSS Filter 防御。
WordPress最新DOM XSS漏洞[4.2.2 fix]

漏洞本质代码:
<script src="https://ajax.googleapis.com/ajax/libs/jquery/1.7.2/jquery.min.js"></script>
<script>
var x = window.location.hash.split('#')[1];
jQuery('.' + x);
</script>

老洞开新花,这是正常的…

修补方案:
删除WordPress目录下所有包含「1.7.2/jquery.min.js」的example.html,如:
/wp-content/themes/twentyfifteen/genericons/example.html
当然<=1.8.3都应该删掉,不想删就把jQuery替换为新版本。

赶紧修补吧各位,不谢。

参考:
http://wptavern.com/xss-vulnerability-in-jetpack-and-the-twenty-fifteen-default-theme-affects-millions-of-wordpress-users
https://core.trac.wordpress.org/changeset/32385


收藏 (0) 打赏

感谢您的支持,我会继续努力的!

打开微信扫一扫,即可进行扫码打赏哦,分享从这里开始,精彩与您同在
点赞 (0)

捷丰下载 技术教程 WordPress最新DOM XSS漏洞[4.2.2 fix] https://www.nwgamer.com/230.html

常见问题

相关文章

官方客服团队

为您解决烦忧 - 24小时在线 专业服务