由于輸入清理(lǐ)和輸出轉義不足,WordPress 的 WooCommerce 插件在 8.1.1 及以下版本中(zhōng)容易通過特色圖片“alt”屬性受到存儲型跨站點腳本攻擊。這使得經過身份驗證的攻擊者(具(jù)有(yǒu)貢獻者級别及以上訪問權限)可(kě)以在頁(yè)面中(zhōng)注入任意 Web 腳本,這些腳本将在用(yòng)戶訪問注入的頁(yè)面時執行。WordPress 的 WooCommerce Blocks 插件在 11.1.1 及以下版本中(zhōng)容易受到相同問題的影響。
過去 24 小(xiǎo)時内,Wordfence 阻止了20,602,489 次針對此漏洞的攻擊。