WordPress Travel Tour模板中的XSS漏洞CVE-2024-11846

Travel Tour 是一款高级响应式 WordPress 主题，作为免费WordPress主题专注于旅游运营商，该主题基于WP旅游引擎WordPress插件。

Travel Tour 配备完整旅游管理系统该主题专为旅行社、旅行社、旅游套餐、旅游博客、城市旅游、一日游、航海旅行、游艇租赁而设计。

一、基本情况

Travel Tour是一款旅游 WordPress 主题，专为各种规模的旅行社和旅游运营商开发，模板在设置旅游项目时提供极大的灵活性和可能性。

WordPress Travel Tour 主题非常的轻量级，易于使用，搜索引擎友好，并可根据用户的需要和愿望定制，该模板中集成许多必要的功能。

栋科技漏洞库关注到 WordPress Travel Tour 主题受影响版本中存在一个反射型 XSS漏洞，漏洞追踪为CVE-2024-11846，CVSS评分7.1。

二、漏洞分析

CVE-2024-11846是WordPress Travel Tour 主题受影响版本中存在的漏洞，该漏洞源于在将参数输出回页面之前未对其进行清理和转义。

从而导致XSS（射的跨站点脚本）攻击的发生，可能会被高权限用户（如admin）利用，鉴于漏洞影响较大，建议相关用户尽快进行修复。

三、POC验证代码

四、影响范围

WordPress Travel Tour < 5.2.4

五、修复建议

WordPress Travel Tour >= 5.2.4

六、参考链接

此处内容已隐藏，评论后刷新即可查看！