WordPress BuddyPress Extended Friendship Request插件跨站脚本漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1166814 漏洞类型 跨站脚本
发布时间 2013-07-31 更新时间 2013-07-31
CVE编号 CVE-2013-4944 CNNVD-ID CNNVD-201307-609
漏洞平台 N/A CVSS评分 2.6
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201307-609
|漏洞详情
WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站。BuddyPressExtendedFriendshipRequest是其中的一个在线交流扩展插件。WordPress平台下的BuddyPressExtendedFriendshipRequest插件1.0.1及之前版本中存在跨站脚本漏洞。在启用了‘FriendConnection’组件的条件下,远程攻击者可通过向wp-admin/admin-ajax.php传送friendship_request_message参数利用该漏洞注入任意Web脚本或HTML代码。
|参考资料

来源:XF
名称:buddypressextfriendshipreq-adminajax-xss(85416)
链接:http://xforce.iss.net/xforce/xfdb/85416
来源:wordpress.org
链接:http://wordpress.org/plugins/buddypress-extended-friendship-request/changelog/
来源:SECUNIA
名称:54048
链接:http://secunia.com/advisories/54048
来源:OSVDB
名称:94807
链接:http://osvdb.org/94807