WordPress Category Post Shortcode漏洞CVE-2024-56021

WordPress Category Post Shortcode 插件允许使用简码在页面或帖子中显示帖子列表，旨在通过该插件讲短代码放入用户帖子或页面中。

该插件根据GNU通用公共许可证发布，用于在页面/帖子中按类别显示帖子，只需将相关短代码放入用户的WordPress帖子或页面中即可。

一、基本情况

WordPress Category Post Shortcode 插件通过类别、缩略图、日期、excerpt、orderby等各种方式，实现在其他页面对相关页面的调用。

栋科技漏洞库关注到WordPress Category Post Shortcode 插件存在跨站点脚本（XSS）漏洞，追踪为CVE-2024-56021，CVSS评分6.5。

二、漏洞分析

CVE-2024-56021漏洞是WordPress Category Post Shortcode 插件中存在的一个跨站点脚本漏洞，漏洞存在允许存储跨站脚本（XSS）。

该漏洞源于在网页生成过程中输入未适当中和（“跨站脚本”），从而允许存储跨站脚本（XSS）漏洞的发生，影响的版本从不适用到2.4。

值得关注的是，该插件的最后更新时间为2012年11月25日16:17:00，这意味着该插件虽历经六次版本发布，至今已超12年的时间未更新。

目前，该插件作者提供的主页已无法打开，WordPress的官方插件下载页面显示此插件已于2024年12月05日时关闭，暂时无法提供下载。

基于以上，栋科技漏洞库建议相关受影响用户选择其他同类型插件，插件大概率不会再更新了。

三、影响范围

Category Post Shortcode <= 2.4

四、修复建议

等待插件开发者更新版本，修复漏洞，更建议选择同类型插件

五、参考链接

此处内容已隐藏，评论后刷新即可查看！

六、插件下载

栋科技漏洞库已找到了最后一个版本的安装包，仅供研究使用。

下载地址：