WordPress Contact Form 插件'contact_form.php'跨站脚本漏洞

文章由LinuxBoy分享于2019-04-02 04:04:34热评（570）

WordPress Contact Form 插件'contact_form.php'跨站脚本漏洞

发布日期：2013-02-21
更新日期：2013-02-23

受影响系统：
WordPress Contact Form Plugin 3.x
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 58089

WordPress Contact Form是简单灵活的联系人表单插件。

Contact Form 3.34及其他版本的wp-content/plugins/contact-form-plugin/trunk/contact_form.php没有正确过滤index.php内的"cntctfrm_contact_message" GET参数值，可导致在受影响站点上下文中执行任意HTML和脚本代码。

<*来源：vendor

链接：http://secunia.com/advisories/52179/
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

WordPress
---------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://wordpress.org/extend/plugins/contact-form-7/

推荐文章：

WordPress Contact Form 插件'contact_form.php'跨站脚本漏洞