出版 2023-02-15 12:00 编写人 新鲜的 CiviCRM-WordPress模块包括一个“快速添加”小部件,可用于诱骗其他用户执行任意HTML和Javascript。 (此漏洞类似于“存储的跨站点脚本”。然而,利用它需要后端特权访问CivicCRM,因此只能由内部用户利用。) 安全风险 中度严重 脆弱性 其他 受影响的版本 CiviCRM 5.58.0版(及更低版本)、5.57.3版(及更早版本)。(这只影响基于WordPress的部署。) 固定版本 CiviCRM版本5.58.1、5.57.4(ESR) 出版日期 2023-02-15 - 12:00 解决 升级至CivicCRM的固定版本 信用 Andrea Intilangelo(德勤)Seamus Lee(CiviCRM/JMA咨询)和Kevin Cristiano(蝌蚪集体) 工具书类 security/wordpress#1