WordFence に上がっている脆弱性対応 - Githubissues

vektor-inc / vk-all-in-one-expansion-unit

wordpress plugin of powerful support

https://ja.wordpress.org/plugins/vk-all-in-one-expansion-unit/

GNU General Public License v2.0

7 stars 1 forks source link

WordFence に上がっている脆弱性対応 #1100

Closed kurudrive closed 1 month ago

kurudrive commented 2 months ago

https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/vk-all-in-one-expansion-unit/vk-all-in-one-expansion-unit-99810-authenticated-contributor-stored-cross-site-scripting

drill-lancer commented 2 months ago

@kurudrive いつもなら〇〇の部分に問題があるというメールが来てそうなのですがその情報はなしですか？

kurudrive commented 2 months ago

@drill-lancer ないですー。

mthaichi commented 2 months ago

@drill-lancer フォームからの全入力において、sanitize_callbackが抜けていないか、必要最低限のHTMLタグしか認めないようになっているかを一つ一つ確認して潰していくしかないですね。