由于输入清理和输出转义不足,WordPress 的 WooCommerce 插件在 8.1.1 及以下版本中容易通过特色图片“alt”属性受到存储型跨站点脚本攻击。这使得经过身份验证的攻击者(具有贡献者级别及以上访问权限)可以在页面中注入任意 Web 脚本,这些脚本将在用户访问注入的页面时执行。WordPress 的 WooCommerce Blocks 插件在 11.1.1 及以下版本中容易受到相同问题的影响。
过去 24 小时内,Wordfence 阻止了20,602,489 次针对此漏洞的攻击。