WordPress Stop Registration Spam漏洞CVE-2024-56017

WordPress Stop Registration Spam插件是个简单插件， 该插件由于Tom royal开发，旨在减少自动垃圾邮件注册和他们产生的电子邮件。

一、基本情况

该插件可以有效防止自动注册和随之而来的垃圾邮件，插件生效后的门槛对于网站的访问者来说很容易回答，但对于机器人来说不可能。

栋科技漏洞库关注到WordPress Stop Registration Spam插件存在跨站请求伪造（CSRF）漏洞，追踪CVE-2024-56017，CVSS评分7.1。

二、漏洞分析

CVE-2024-56017是WordPress Stop Registration Spam插件中存在的跨站请求伪造（CSRF）漏洞，允许存储式跨站脚本攻击（XSS）。

该漏洞具体存在于WordPress Stop Registration Spam插件的注册反垃圾邮件功能中，影响Stop Registration Spam版本从不适用到1.23。

攻击者可以通过诱骗用户执行非预期的操作，利用该漏洞实现注入恶意脚本，从而能够利用该插件，导致存储跨站点脚本（XSS）攻击。

三、影响范围

WordPress Tom Royal <= 1.23

四、参考链接

WordPress Tom Royal >= 1.24

五、参考链接

管理员已设置评论后刷新可查看