WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站。Pie-Register是其中的一个强化注册页面插件。 WordPress平台下的Genetech Solutions Pie-Register插件1.30及之前的版本中的wp-login.php文件中存在多个跨站脚本漏洞。在启用“允许新注册用户修改自己的密码”的条件下,远程攻击者可通过注册操作中的pass1或pass2参数利用该漏洞注入任意Web脚本或HTML代码。
目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本: http://wordpress.org/plugins/pie-register/changelog/
来源: XF 名称: pieregister-wplogin-xss(85604) 链接:http://xforce.iss.net/xforce/xfdb/85604 来源: BID 名称: 61140 链接:http://www.securityfocus.com/bid/61140 来源: wordpress.org 链接:http://wordpress.org/support/topic/security-issue-web-application-cross-site-scripting