按 Enter 到主內容區
:::

TWCERT-電子報

:::
發布日期:
字型大小:

WordPress的JetPack和Twenty Fifteen套件有安全漏洞,可能導致XSS攻擊

CVE編號 尚無CVE編號
影響產品 WordPress 4.2.1及以前的版本
解決辦法 建議移除在wp-content/plugins/jetpack/_inc/genericons/genericons和wp-content/themes/twentyfifteen/genericons下的example.html檔案
張貼日 2015-05-07
上稿單位 TWCERT/CC

•Wordpress的兩個套件(JetPack和Twenty Fifteen),其中TwentyFifteen是WordPress預設就安裝的套件。這兩個套件都使用了genericons這個package,該package包含了example.html的檔案。

•可能導致有DOM-based XSS的風險。

相關連結

  1. https://blog.sucuri.net/2015/05/jetpack-and-twentyfifteen-vulnerable-to-dom-based-xss.html
回頁首