阿里云漏洞库

wp-staging wp_staging 在web页面生成时对输入的转义处理不恰当（跨站脚本）

CVE编号

CVE-2022-2737

利用情况

暂无

补丁情况

N/A

披露时间

2022-09-16

漏洞描述

The WP STAGING WordPress plugin before 2.9.18 does not sanitise and escape some of its settings, which could allow high privilege users such as admin to perform Stored Cross-Site Scripting attacks even when the unfiltered_html capability is disallowed (for example in multisite setup)

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://wpscan.com/vulnerability/91bbdeb0-f2df-4500-b856-af0ff68fbb12

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	wp-staging	wp_staging	*		Up to (excluding) 2.9.18
	运行在以下环境
	系统	amazon_2022	mariadb	*		Up to (excluding) 10.5.16-1.amzn2022.0.4
	运行在以下环境
	系统	fedora_35_Modular	mariadb	*		Up to (excluding) 10.4-3520220717092835.f27b74a8
	运行在以下环境
	系统	suse_12_SP5	mariadb	*		Up to (excluding) 10.2.44-3.50.1

攻击路径

网络
攻击复杂度

低
权限要求

高
影响范围

已更改
用户交互

需要
可用性

无
保密性

低
完整性

低

CWE-ID	漏洞类型
CWE-79	在Web页面生成时对输入的转义处理不恰当（跨站脚本）

wp-staging wp_staging 在web页面生成时对输入的转义处理不恰当（跨站脚本）

漏洞描述

解决建议

参考链接

受影响软件情况