WordPress Leads CRM 插件漏洞CVE-2024-56027

WordPress Leads CRM 插件是启用业务客户关系管理工具，使之适合于WooCommerce商务平台，插件用于追踪客户获取过程业务领导。

使用WordPress Leads CRM 插件，可以用于搜索工具和创建主要的业务用户帐户，从而跟踪和管理客户获取的从结束到结束的销售过程。

一、基本情况

Leads CRM 插件由BizSwoop a CPF Concepts, LLC pand贡献，用于WooCommerce平台搜索业务名称、业务类型、电话、网站和地址。

WordPress Leads CRM 插件提供个人跟踪书签业务和整个组织共享书签，该插件还可以为客户提供管理结束到结束销售过程的审计线索。

栋科技漏洞库关注到 WordPress Leads CRM 插件受影响版本存在反射跨站点脚本（XSS）漏洞，追踪CVE-2024-56027，CVSS评分7.1。

二、漏洞分析

CVE-2024-56027漏洞是 WordPress Leads CRM 插件中存在的漏洞，漏洞影响了一个未知代码，源于在网页生成过程中输入未适当中和。

具体而言，该漏洞影响 WordPress Leads CRM 插件从不适用版本至2.0.13版本，漏洞可能导致反射型跨站脚本攻击（Reflected XSS）。

Leads CRM 插件受影响版本在将用户可控制的输入放入作为网页提供给其他用户的输出之前，不会中和或错误地中和用户可控制的输入。

该漏洞利用非常容易，攻击可以远程发起且攻击不需要任何形式的身份验证，虽然它要求受害者进行某种用户交互，但技术细节尚不清楚。

通过WordPress官网可知，插件由BizSwoop a CPF Concepts, LLC pand贡献，具体服务于Leads CRM for WordPress WooCommerce。

目前，WordPress官网显示该插件最后更新时间是三年前，已于2024 年11月08日关闭，无法下载，而显示被关闭的原因则是：安全问题。

三、影响范围

WordPress Leads CRM <= 2.0.13

四、修复建议

等待插件开发者更新版本，修复漏洞，更建议选择同类型插件

五、参考链接

此处内容已隐藏，评论后刷新即可查看！