WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站。WP Photo Album Plus是管理和显示相册和幻灯片的插件。 WP Photo Album Plus 6.1.3之前版本存在跨站脚本漏洞,由于程序未能有效过滤wppa-functions.php中"comname"中"comemail" POST参数值。允许攻击者利用漏洞可在用户浏览器会话中执行任意HTML及脚本代码。

WordPress WP Photo Album Plus Plugin < 6.1.3

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: