WordPress SvegliaT Buttons的XSS漏洞CVE-2024-56020

WordPress SvegliaT Buttons 是一个可使用短代码将CSS3按钮放入博客的简单插件，使用简单短代码即可将按钮直接添加到博客文章中。

SvegliaT Buttons 插件旨在通过允许用户使用短代码，轻松添加时尚的 CSS3 按钮，从而增强使用WordPress搭建的各类网站和博客站点。

一、基本情况

WordPress用户借助SvegliaT Buttons 插件，只需使用短代码即可将具有视觉吸引力的彩色按钮直接插入到博客文章中，与简码轻松集成。

用户可以灵活地选择多种颜色，包括橙色、红色、粉色、黑色、灰色、黄色、绿色、紫色和蓝色，并且可以创建小尺寸或大尺寸的按钮。

而且该插件支持多种颜色和尺寸定制，用户只需在帖子中添加特定的短代码或使用管理页面中提供的按钮生成器即可获得更无缝的体验。

因此，WordPress SvegliaT Buttons 插件简化了向WordPress网站添加功能性且有吸引力的按钮的过程，极大的增强了可用性和美观性。

栋科技关注到WordPress SvegliaT Buttons 插件受影响版本中存在跨站点脚本 (XSS) 漏洞，追踪为CVE-2024-56020，CVSS评分为6.5。

二、漏洞分析

CVE-2024-56020漏洞是Mario Di Pasquale SvegliaT Buttons中存在一个网页生成过程中输入未适当中和，导致的（跨站脚本攻击）漏洞。

该漏洞存在允许存储式跨站脚本攻击情况发生，漏洞影响版本从不适用到1.3.0的SvegliaT Buttons，插件最后更新时间2016年11月27日。

这意味着该插件已经八年之久未曾有过版本更新，目前WordPress的官方插件下载页面显示此插件已于2024年12月05日关闭，无法下载。 

三、影响范围

WordPress SvegliaT Buttons 插件 <= 1.3.0

四、修复建议

等待插件开发者更新版本，修复漏洞

五、参考链接

此处内容已隐藏，评论后刷新即可查看！