CVE-2014-9031

描述

Cross-site scripting (XSS) vulnerability in the wptexturize function in WordPress before 3.7.5, 3.8.x before 3.8.5, and 3.9.x before 3.9.3 allows remote attackers to inject arbitrary web script or HTML via crafted use of shortcode brackets in a text field, as demonstrated by a comment or a post.

如何修補 CVE-2014-9031

要修補 CVE-2014-9031,請將受影響套件升級到下列已修補版本。

• Debian/wordpress—升級至 4.0.1+dfsg-1 或更新版本
• Debian/wordpress—升級至 3.6.1+dfsg-1~deb6u6 或更新版本
• Debian/wordpress—升級至 3.6.1+dfsg-1~deb7u5 或更新版本

CVE-2014-9031 正在被利用嗎?

低 — EPSS 為 0.6%,目前沒有觀察到大規模利用活動。

受影響套件(3)

• from 0, < 4.0.1+dfsg-1
• from 0, < 3.6.1+dfsg-1~deb6u6
• from 0, < 3.6.1+dfsg-1~deb7u5

參考連結(1)

• ADVISORYsecurity-tracker.debian.org/tracker/CVE-2014-9031