XSS(クイック投稿のタイトル) | WordPress.org 日本語

apr_inoue
(@apr_inoue)

13年、 1ヶ月前

CVE-2011-0700 を確認していたところ、以下のバージョンで
XSS が可能なことを見つけましたのでご報告します。

wordpress のバージョン:
3.0.5 (日本語版)
3.1.0 (日本語版/英語版)
※ いずれもインストール直後の状態です

現象:
ダッシュボードにあるクイック投稿のタイトルに script タグを含めて公開すると
エスケープされていないようで、公開された記事を参照すると script タグが機能しました。
ログインした状態、未ログイン状態の別のブラウザでそれぞれ script タグが機能するようです。

3件の返信を表示中 - 1 - 3件目 (全3件中)

トピック投稿者 apr_inoue
(@apr_inoue)

13年、 1ヶ月前

日本語版だけの問題ではなさそうでしたので
英語のフォーラムに同じ質問をしました。

chohkan
(@chohkan)

13年、 1ヶ月前

Debian Security Advisory DSA-2190-1 wordpress — several vulnerabilities
http://www.debian.org/security/2011/dsa-2190

3月11日の報告ですが、WordPress側には連絡が行っていないのでしょうか。

トピック投稿者 apr_inoue
(@apr_inoue)

13年、 1ヶ月前

CVE-2011-0700 での指摘箇所は Quick Edit ですが
クイック投稿の英語表記は QuickPress だったので、
別の箇所なのかもしれません。

3件の返信を表示中 - 1 - 3件目 (全3件中)

トピック「XSS(クイック投稿のタイトル)」には新たに返信することはできません。

フォーラム: バグ報告と提案
3件の返信
2人の参加者
最後の返信者: apr_inoue
最後の活動: 13年、 1ヶ月前
状態: 未解決

トピックタグ

XSS

表示