发布日期：2020-05-28
更新日期：2020-08-31

受影响系统：

WordPress Accordion < 2.2.9

描述：

---

CVE(CAN) ID: CVE-2020-13644

WordPress是WordPress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。Accordion是使用在其中的一个用于创建响应式内容的插件。
WordPress Accordion 2.2.9之前版本中的AJAX wp_ajax_accordions_ajax_import_json操作存在跨站脚本执行漏洞。该漏洞源于未受保护的AJAX wp_ajax_accordions_ajax_import_json操作允许任何具有订阅者或更高权限的经过身份认证的用户导入新的accordion。攻击者可利用该漏洞导入新的折叠面板并向其中注入恶意的JavaScript代码。

<**>

建议：

---

厂商补丁：

WordPress
---------
目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://wpvulndb.com/vulnerabilities/10179

浏览次数：917
严重程度：0（网友投票）