CNNVD-ID编号 | CNNVD-202012-1507 |
CVE编号 | CVE-2020-35650 |
发布时间 | 2020-12-23 |
更新时间 | 2020-12-25 |
漏洞类型 | 跨站脚本 |
漏洞来源 | N/A |
危险等级 | 中危 |
威胁类型 | 远程 |
厂 商 | N/A |
Uncanny Owl Groups for LearnDash是加拿大Uncanny Owl公司的一个为Wordpress中LearnDash提供售卖课程功能的插件。
Uncanny Groups for LearnDash v3.7之前版本存在跨站脚本漏洞,该漏洞允许经过身份验证的远程攻击者可利用该漏洞通过user-code-redemption中的ulgm code redeem POST参数注入任意JavaScript或HTML在用户注册表单中,存在于以下路径中:ulgm_code_redeem POST Parameter in user-code-redemption.php, the ulgm_user_first POST Parameter in user-registration-form.php, the ulgm_user_last POST Parameter in user-registration-form.php, the ulgm_user_email POST Parameter in user-registration-form.php, the ulgm_code_registration POST Parameter in user-registration-form.php, the ulgm_terms_conditions POST Parameter in user-registration-form.php, the _ulgm_total_seats POST Parameter in frontend-uo_groups_buy_courses.php, the uncanny_group_signup_user_first POST Parameter in group-registration-form.php, the uncanny_group_signup_user_last POST Parameter in group-registration-form.php, the uncanny_group_signup_user_login POST Parameter in group-registration-form.php, the uncanny_group_signup_user_email POST Parameter in group-registration-form.php, the success-invited GET Parameter in frontend-uo_groups.php, the bulk-errors GET Parameter in frontend-uo_groups.php, or the message GET Parameter in frontend-uo_groups.php.
目前厂商已发布升级了Uncanny Owl Groups for LearnDash 跨站脚本漏洞的补丁,Uncanny Owl Groups for LearnDash 跨站脚本漏洞的补丁获取链接:
https://www.uncannyowl.com/knowledge-base/uncanny-learndash-groups-changelog/
暂无