XSS(クイック投稿のタイトル)
-
CVE-2011-0700 を確認していたところ、以下のバージョンで
XSS が可能なことを見つけましたのでご報告します。wordpress のバージョン:
3.0.5 (日本語版)
3.1.0 (日本語版/英語版)
※ いずれもインストール直後の状態です現象:
ダッシュボードにあるクイック投稿のタイトルに script タグを含めて公開すると
エスケープされていないようで、公開された記事を参照すると script タグが機能しました。
ログインした状態、未ログイン状態の別のブラウザでそれぞれ script タグが機能するようです。
3件の返信を表示中 - 1 - 3件目 (全3件中)
3件の返信を表示中 - 1 - 3件目 (全3件中)
- トピック「XSS(クイック投稿のタイトル)」には新たに返信することはできません。