1、描述 :
Media Player Addons for Elementor是wordpress中使用 Elementor 的媒体播放器插件的插件;可嵌入各种媒体文件,例如 .mp3、.mp4、.flv、.m3u8、.ogg 等,包括 YouTube 和 Vimeo 等热门平台。
2、影响版本:
Media Player Addons for Elementor 版本<=1.0.5
3、细节:
当使用WordPress plugin Media Player Addons for Elementor 1.0.5版本插件时,在添加文章时,使用“Media Player for Elementor”的功能,在功能中的对subtitle_ssize、track_title、track_artist_name字段未进行严格转义及敏感字符处理,从而可导致系统的编辑者构造存储型跨站脚本代码进行攻击,可获取cookie等敏感信息;payload如:
‘><img src=1 onerror=alert(99999)><
(1)添加文章,点击“使用 Elementor 编辑”
在左侧下拉到:Media Player For Elementor 选项
在Video Title 填写payload
填入payload:
发布后,前台访问:
5、修补措施:
目前,Media Player Addons for Elementor已经发布了升级版本1.0.6及1.0.7,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。官方链接如下:
Media Player Addons for Elementor – Audio and Video Widgets for Elementor
6、修复建议:
及时更新插件最新版本
![[单曲] She's Gone-微慑信息网-VulSee.com](http://www.nnred.com/bbs/UploadFile/2005-7/2005727191998732.jpg)
![[八卦] 王婷婷—揭秘一个大三女生的性爱录像-微慑信息网-VulSee.com](http://free.86hy.com/crack/pic/1.jpg)
![[随笔]今天国际警察节-微慑信息网-VulSee.com](http://photo.sohu.com/20041017/Img222528326.jpg)
青云网
