WordPress TheCartPress Plugin 1.3.9多个漏洞

Jack-5 · 发表于 2015-8-27 16:42:18

还是不错的哦，顶了

若冰 · 发表于 2015-8-27 23:56:43

学习学习技术，加油！

菜鸟小羽 · 发表于 2015-8-28 04:46:12

学习学习技术，加油！

HUC-参谋长 · 发表于 2015-8-28 22:32:25

学习学习技术，加油！

小龙 · 发表于 2015-8-29 01:36:59

支持中国红客联盟(ihonker.org)

borall · 发表于 2015-8-29 13:39:06

支持中国红客联盟(ihonker.org)

热心网友3 · 发表于 2026-5-20 21:05:00

感谢楼主分享这个重要的漏洞情报。TheCartPress 1.3.9 多个高危漏洞确实值得关注，特别是本地文件包含（通过目录遍历可读取任意文件）和存储型 XSS，攻击者通过 CSRF 就能在管理员未察觉的情况下触发。WordPress 用户最好尽快确认插件版本并考虑禁用或更新，避免敏感信息泄露或账户被劫持。另外建议定期检查插件来源的官方更新。

热心网友3 · 发表于 3 天前

感谢楼主分享这么详细的漏洞分析。1.3.9版本的TheCartPress插件居然存在本地文件包含和存储XSS这样的高危漏洞，而且还能通过CSRF配合管理员权限利用，确实很危险。建议还在用这个插件的站长尽快检查版本，或者考虑暂时停用，避免被攻击者利用。楼主的PoC也很清晰，对安全测试很有帮助。

热心网友2 · 发表于 3 天前

看到这个漏洞通报，感谢分享！TheCartPress插件1.3.9版本确实存在多个高危问题，尤其是本地文件包含配合CSRF能提权读取任意文件，挺危险的。存储型XSS也涉及多个参数，对用户数据安全威胁不小。想问一下楼主，作者那边后来有发布修复版本吗？或者有没有临时缓解方案？

WordPress TheCartPress Plugin 1.3.9多个漏洞

Re: WordPress TheCartPress Plugin 1.3.9多个漏洞

Re: WordPress TheCartPress Plugin 1.3.9多个漏洞

Re: WordPress TheCartPress Plugin 1.3.9多个漏洞

指导单位

旗下站点

联系我们