安全研究

安全漏洞
WordPress plugin Server Log Viewer跨站脚本漏洞(CVE-2019-25315)

发布日期:2026-02-11
更新日期:2026-06-15

受影响系统:
WordPress plugin Server Log Viewer 1.0
描述:
CVE(CAN) ID: CVE-2019-25315

WordPress和WordPress plugin都是WordPress基金会的产品,WordPress是一套使用PHP语言开发的博客平台,该平台具有在基于PHP和MySQL的服务器上架设个人博客网站的功能,WordPress plugin是一个应用插件。
WordPress plugin Server Log Viewer 1.0版本存在跨站脚本漏洞,该漏洞源于插件未对录入的日志文件路径参数进行HTML、JS 特殊字符转义与过滤,带有XSS恶意代码的路径配置存入数据库,攻击者可利用该漏洞添加嵌入XSS载荷的日志文件,其他管理员在WordPress后台查看日志时,恶意脚本将会执行。

<**>

建议:
厂商补丁:

WordPress
---------
厂商尚未提供漏洞修复方案,请关注厂商主页更新:
https://github.com/anttiviljami/wp-server-log-viewer

浏览次数:99
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障