WordPress插件Contact Form DB跨站脚本漏洞

 关注(0)报送者:恒安嘉新（北京）科技有限公司

CNVD-IDCNVD-2015-01348发布时间2015-02-28危害级别中(AV:N/AC:M/Au:N/C:N/I:P/A:N)影响产品WordPress Contact Form DB plugin 2.8.26CVE IDCVE-2015-2040漏洞描述WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台，该平台支持在PHP和MySQL的服务器上架设个人博客网站。Contact Form DB（也称CFDB and contact-form-7-to-database-extension）是其中的一个能够将创建和添加联系人表单提交到WordPress中的插件。

WordPress Contact Form DB插件2.8.26版本中存在跨站脚本漏洞，该漏洞源于wp-admin/admin.php脚本未能充分过滤CF7DBPluginSubmissions页面中的‘submit_time’参数。远程攻击者可利用该漏洞注入任意Web脚本或HTML。漏洞类型通用软硬件漏洞URL 参考链接http://xforce.iss.net/xforce/xfdb/100818
http://packetstormsecurity.com/files/130311/WordPress-Contact-Form-DB-2.8.26-Cross-Site-Scripting.html漏洞解决方案目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：
https://wordpress.org/plugins/contact-form-7-to-database-extension/changelog/漏洞发现者unknown厂商补丁WordPress插件Contact Form DB跨站脚本漏洞的补丁验证信息(暂无验证信息)报送时间2015-02-27收录时间2015-02-28更新时间2015-02-28漏洞附件(无附件)  在发布漏洞公告信息之前，CNVD都力争保证每条公告的准确性和可靠性。然而，采纳和实施公告中的建议则完全由用户自己决定，其可能引起的问题和结果也完全由用户承担。是否采纳我们的建议取决于您个人或您企业的决策，您应考虑其内容是否符合您个人或您企业的安全策略和流程。