漏洞预警:WordPress插件Events Manager 5.8.1.1存在XSS漏洞(CVE-2018-9020)

Posted 信安问答

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了漏洞预警:WordPress插件Events Manager 5.8.1.1存在XSS漏洞(CVE-2018-9020)相关的知识,希望对你有一定的参考价值。

01

漏洞简介

WordPress Events Manager是事件注册管理的插件,包括注册事件、位置管理、日历、Google地图统和、预定管理。

Events Manager 5.8.1.1低权限用户可以提交事件,可以在Google地图缩略图中注入javascript代码。高权限用户打开提交的事件时,将在管理面板中运行存储型XSS恶意代码。

问题出在文件events-manager.js中,变量mapTitle未被转义。

02

影响范围

目前已知范围

 Events Manager 5.8.1.1


03

漏洞复现


04

修复方案

将 Events Manager 版本升级到 5.8.1.2 



      推荐阅读:



点击“阅读原文” 查看更多精彩内容

以上是关于漏洞预警:WordPress插件Events Manager 5.8.1.1存在XSS漏洞(CVE-2018-9020)的主要内容,如果未能解决你的问题,请参考以下文章

漏洞预警 | 高危Struts REST插件远程代码执行漏洞(S2-052)

高危漏洞预警39期:Struts2 REST插件XStream远程代码执行漏洞

每日安全资讯漏洞预警 | 高危Struts REST插件远程代码执行漏洞(S2-052)

漏洞预警 | 完爆 XSTREAM反序列化漏洞!

预警|Struts2 REST插件存在远程代码执行漏洞(CVE-2017-9805)

漏洞预警Apache Struts2(S2-052)远程代码执行漏洞