WP Job Portal 插件跨站点脚本漏洞 CVE-2024-52389

WP Job Portal 是一个轻量级WordPress工作板插件，具有WordPress仪表盘全部功能，招聘过程中管理非常简单，不需要使用任何代码。

WP Job Portal 插件是WordPress中一个Job门户插件，旨在为公司或招聘网站提供完整招聘系统插件，为公司招聘提供强大的招聘系统。

一、基本情况

WP Job Portal 插件宣称自己是轻量级的工作板插件，其具备功能丰富的职位板功能，使用多合一职位板插件管理职位发布和候选人资料。

插件提供高级仪表板和功能的统一体验 ，实现享受一个结合了强大工具和直观设计的紧密结合的平台，所有这些都在易于使用的仪表板中。

通过轻松的工作申请、实时电子邮件通知和可定制的现场管理等功能优化招聘流程，所有这些功能都旨在提高效率并在每一步都了解情况。

栋科技漏洞库关注到WordPress WP Job Portal 插件近期爆出跨站点脚本（XSS）漏洞，漏洞被追踪为CVE-2024-52389，CVSS评分6.5。

二、漏洞分析

CVE-2024-52389是由于WordPress WP Job Portal 插件的Web页面生成过程中输入未适当中和导致的，允许存储XSS或是跨站脚本攻击。

三、影响范围

WP Job Portal <= 2.2.0

四、修复建议

WP Job Portal >= 2.2.1

五、参考链接

https://plugins.trac.wordpress.org/log/wp-job-portal/

https://cn.wordpress.org/plugins/wp-job-portal/