Uncanny Owl Groups for LearnDash 跨站脚本漏洞

CNNVD-ID编号	CNNVD-202012-1507	CVE编号	CVE-2020-35650
发布时间	2020-12-23	更新时间	2020-12-25
漏洞类型	跨站脚本	漏洞来源	N/A
危险等级	中危	威胁类型	远程
厂商	N/A

漏洞介绍

Uncanny Owl Groups for LearnDash是加拿大Uncanny Owl公司的一个为Wordpress中LearnDash提供售卖课程功能的插件。

Uncanny Groups for LearnDash v3.7之前版本存在跨站脚本漏洞，该漏洞允许经过身份验证的远程攻击者可利用该漏洞通过user-code-redemption中的ulgm code redeem POST参数注入任意JavaScript或HTML在用户注册表单中，存在于以下路径中：ulgm_code_redeem POST Parameter in user-code-redemption.php, the ulgm_user_first POST Parameter in user-registration-form.php, the ulgm_user_last POST Parameter in user-registration-form.php, the ulgm_user_email POST Parameter in user-registration-form.php, the ulgm_code_registration POST Parameter in user-registration-form.php, the ulgm_terms_conditions POST Parameter in user-registration-form.php, the _ulgm_total_seats POST Parameter in frontend-uo_groups_buy_courses.php, the uncanny_group_signup_user_first POST Parameter in group-registration-form.php, the uncanny_group_signup_user_last POST Parameter in group-registration-form.php, the uncanny_group_signup_user_login POST Parameter in group-registration-form.php, the uncanny_group_signup_user_email POST Parameter in group-registration-form.php, the success-invited GET Parameter in frontend-uo_groups.php, the bulk-errors GET Parameter in frontend-uo_groups.php, or the message GET Parameter in frontend-uo_groups.php.

漏洞补丁

目前厂商已发布升级了Uncanny Owl Groups for LearnDash 跨站脚本漏洞的补丁，Uncanny Owl Groups for LearnDash 跨站脚本漏洞的补丁获取链接：

https://www.uncannyowl.com/knowledge-base/uncanny-learndash-groups-changelog/

参考网址

来源:MISC

链接：https://gist.github.com/michiiii/81d801f563138abe7da61e2d95342202
来源:MISC

链接：https://www.uncannyowl.com/knowledge-base/uncanny-learndash-groups-changelog/

受影响实体

暂无

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202012-1507

Uncanny Owl Groups for LearnDash 跨站脚本漏洞

漏洞介绍

漏洞补丁

参考网址

受影响实体

信息来源

查询漏洞

相关漏洞

支持服务

云学院

合作与生态

Uncanny Owl Groups for LearnDash 跨站脚本漏洞

漏洞介绍

漏洞补丁

参考网址

受影响实体

信息来源

查询漏洞

相关漏洞