WordPress是一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站。 WordPress插件WP Photo Album存在存储跨站脚本漏洞。由于通过"comname"和"comemail" HTTP POST参数传递到"/wp-content/plugins/wp-photo-album-plus/wppa-ajax-front.php"输入的脚本缺少用户提供的过滤,远程攻击者可以发布包含恶意HTML或脚本代码特制的消息,当管理员在管理界面查看,在受影响站点的浏览器上下文中执行。

WordPress WP Photo Album Plus Plugin <= 6.1.2

用户可联系供应商获得补丁信息: