阿里云漏洞库

漏洞描述

The Simple File List WordPress plugin before 4.4.12 does not escape parameters before outputting them back in attributes, leading to Reflected Cross-Site Scripting

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://wpscan.com/vulnerability/2e829bbe-1843-496d-a852-4150fa6d1f7a

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	simplefilelist	simple-file-list	*		Up to (excluding) 4.4.12
	运行在以下环境
	系统	amazon_2	runc	*		Up to (excluding) 1.1.3-1.amzn2.0.2
	运行在以下环境
	系统	amazon_2022	golist	*		Up to (excluding) 0.10.1-11.amzn2022.0.1
	运行在以下环境
	系统	amazon_2023	golist	*		Up to (excluding) 0.10.1-11.amzn2023.0.3
	运行在以下环境
	系统	amazon_AMI	golang	*		Up to (excluding) 1.18.6-1.42.amzn1
	运行在以下环境
	系统	fedora_35	fzf	*		Up to (excluding) 0.29.0-2.fc35
	运行在以下环境
	系统	fedora_36	3mux	*		Up to (excluding) 1.1.0-5.fc36
	运行在以下环境
	系统	fedora_37	3mux	*		Up to (excluding) 1.1.0-5.fc37
	运行在以下环境
	系统	fedora_38	etcd	*		Up to (excluding) 3.5.5-1.fc38~bootstrap
	运行在以下环境
	系统	fedora_40	chisel	*		Up to (excluding) 1.9.0-1.fc40
	运行在以下环境
	系统	fedora_EPEL_7	golang	*		Up to (excluding) 1.17.12-1.el7
	运行在以下环境
	系统	opensuse_Leap_15.3	go1.17	*		Up to (excluding) 1.17.11-150000.1.37.1
	运行在以下环境
	系统	opensuse_Leap_15.4	go1.18	*		Up to (excluding) 1.18.3-150000.1.20.1
	运行在以下环境
	系统	opensuse_Leap_15.5	go1.18-openssl	*		Up to (excluding) 1.18.10.1-150000.1.9.1
	运行在以下环境
	系统	redhat_9	golang	*		Up to (excluding) 1.17.12-1.el9_0
	运行在以下环境
	系统	rocky_linux_9	golang	*		Up to (excluding) 1.17.12-1.el9_0

攻击路径

网络
攻击复杂度

低
权限要求

无
影响范围

已更改
用户交互

需要
可用性

无
保密性

低
完整性

低

CWE-ID	漏洞类型
CWE-79	在Web页面生成时对输入的转义处理不恰当（跨站脚本）

simplefilelist simple-file-list 在web页面生成时对输入的转义处理不恰当（跨站脚本）

漏洞描述

解决建议

参考链接

受影响软件情况