VULHUB ™

WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台，该平台支持在PHP和MySQL的服务器上架设个人博客网站。TheCartPress eCommerce Shopping Cart（又名The Professional WordPress eCommerce Plugin）是其中的一个电子商务购物车插件。 WordPress TheCartPress eCommerce Shopping Cart插件1.3.9.3之前版本中存在跨站脚本漏洞，该漏洞源于shopping-cart/checkout/ URI没有充分过滤多个参数（billing_firstname，billing_lastname，billing_company，billing_tax_id_number，billing_city，billing_street，billing_street_2，billing_postcode，billing_telephone_1，billing_telephone_2，billing_fax，shipping_firstname，shipping_lastname，shipping_company，shipping_tax_id_number, (16) shipping_city, (17) shipping_street, (18) shipping_street_2, (19) shipping_postcode, (20) shipping_telephone_1，shipping_telephone_2，shipping_fax）；wp-admin/admin.php脚本没有充分过滤‘search_by’参数；wp-admin/admin.php脚本没有充分过滤多个参数（address_id，address_name，firstname，lastname，street，city，postcode，email）；wp-admin/admin.php脚本没有充分过滤‘post_id’和‘rel_type’参数；wp-admin/admin.php脚本没有充分过滤‘post_type’参数。远程攻击者可利用该漏洞注入任意Web脚本或HTML。

WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台，该平台支持在PHP和MySQL的服务器上架设个人博客网站。TheCartPress eCommerce Shopping Cart（又名The Professional WordPress eCommerce Plugin）是其中的一个电子商务购物车插件。 WordPress TheCartPress eCommerce Shopping Cart插件1.3.9.3之前版本中存在跨站脚本漏洞，该漏洞源于shopping-cart/checkout/ URI没有充分过滤多个参数（billing_firstname，billing_lastname，billing_company，billing_tax_id_number，billing_city，billing_street，billing_street_2，billing_postcode，billing_telephone_1，billing_telephone_2，billing_fax，shipping_firstname，shipping_lastname，shipping_company，shipping_tax_id_number, (16) shipping_city, (17) shipping_street, (18) shipping_street_2, (19) shipping_postcode, (20) shipping_telephone_1，shipping_telephone_2，shipping_fax）；wp-admin/admin.php脚本没有充分过滤‘search_by’参数；wp-admin/admin.php脚本没有充分过滤多个参数（address_id，address_name，firstname，lastname，street，city，postcode，email）；wp-admin/admin.php脚本没有充分过滤‘post_id’和‘rel_type’参数；wp-admin/admin.php脚本没有充分过滤‘post_type’参数。远程攻击者可利用该漏洞注入任意Web脚本或HTML。