漏洞版本:

WordPress 3.6

漏洞描述:

CVE ID:CVE-2013-5738WordPress是一種使用PHP語言開發的博客平臺，用戶可以在支持PHP和MySQL數據庫的服務器上架設自己的網志WordPress get_allowed_mime_types函數(wp-includes/functions.php)存在安全漏洞，由于不正確限制.html和.html文件上傳，允許遠程通過驗證的攻擊者構建特制文件，進行跨站腳本攻擊，可獲取目標用戶敏感信息或者劫持用戶會話 <* 參考 http://core.trac.wordpress.org/changeset/25322 *>

安全建議:

廠商解決方案WordPress 3.6.1已經修改該漏洞，建議用戶下載更新： http://codex.wordpress.org/Version_3.6.1 http://wordpress.org/news/2013/09/wordpress-3-6-1/

轉載于:https://www.cnblogs.com/security4399/p/3325491.html

總結

以上是生活随笔為你收集整理的WordPress get_allowed_mime_types函数(wp-includes/functions.php)存在跨站脚本漏洞的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。