WordPress stetic插件 XSS漏洞

0x01 漏洞描述

Stetic WordPress插件可以在 Wordpress 仪表板上提供统计显示和包含最重要数据的单独页面。

2021年12月3日，360漏洞云团队监测到WordPress发布安全公告，修复了一个存在于WordPress stetic 插件中的漏洞。漏洞编号：CVE-2021-42364，漏洞威胁等级：高危，漏洞评分：8.8。

该漏洞是由于缺少通过stats_page stetic.php文件中的函数进行的随机数验证，Stetic WordPress 插件容易受到跨站点请求伪造的攻击，这使得攻击者可以在 1.0 及以下版本中注入任意 Web 脚本。

0x02 危害等级

高危：8.8

0x03 影响版本

stetic <=1.0.6

0x04 修复建议

无补丁可用，插件已关闭下载。已安装该插件的用户请卸载插件。

与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。