平台
wordpress
组件
mstw-league-manager
修复版本
2.10.1
2.10.1
CVE-2026-34890是Mark O’Donnell MSTW League Manager中的一个漏洞,允许DOM-Based XSS。此问题影响MSTW League Manager:从n/a到2.10。攻击者可以利用此漏洞在受害者的浏览器中执行恶意脚本。目前没有官方补丁可用。
WordPress的MSTW League Manager插件中的CVE-2026-34890代表着一种存储型跨站脚本攻击(XSS)漏洞。具有贡献者级别或更高权限的经过身份验证的攻击者可以将恶意JavaScript代码注入到网页中。每当用户访问注入的页面时,此代码将执行,从而允许攻击者窃取Cookie、将用户重定向到恶意网站或修改页面内容。CVSS评分6.4表示中等风险,但对于具有贡献者权限的用户而言,易于利用使其对拥有大量此类权限的网站特别令人担忧。缺乏官方修复程序(fix: none)加剧了这种情况,需要积极的缓解措施。
此漏洞是通过向MSTW League Manager插件中的输入字段注入恶意JavaScript代码来利用的,这些字段未得到适当的清理。具有贡献者或更高权限的攻击者可以利用此漏洞将代码注入到其他用户随后将访问的页面中。恶意代码的执行允许攻击者代表用户执行操作,例如窃取登录信息或修改网站内容。缺乏输入验证和输出编码允许这种直接脚本注入。
漏洞利用状态
EPSS
0.03% (10% 百分位)
CISA SSVC
由于MSTW League Manager没有官方更新来解决CVE-2026-34890,因此缓解措施的重点是限制访问并实施额外的安全措施。仅将贡献者权限限制给真正需要它们的那些用户。实施提供XSS保护的WordPress安全插件,例如Wordfence或Sucuri Security。定期对您的网站进行安全审计,以识别和修复潜在的漏洞。如果该插件对于您网站的功能不是必需的,请考虑禁用或删除MSTW League Manager插件。监控您的网站日志,查找可能表明利用尝试的可疑活动。
No known patch available. Please review the vulnerability's details in depth and employ mitigations based on your organization's risk tolerance. It may be best to uninstall the affected software and find a replacement.
漏洞分析和关键警报直接发送到您的邮箱。
XSS是一种安全漏洞,允许攻击者将恶意脚本注入到其他用户查看的网页中。这些脚本可以窃取信息、重定向用户或修改页面内容。
在WordPress中,“贡献者”角色的用户具有创建和编辑帖子的权限,但没有管理整个网站的权限。
如果您正在使用MSTW League Manager插件的2.10或更早版本,那么您的网站容易受到攻击。进行安全审计或咨询安全专业人士进行更彻底的评估。
是的,有几个其他WordPress联赛管理插件。研究并选择一个安全且满足您需求的替代方案。
立即更改所有管理员密码,扫描您的网站是否存在恶意软件,并考虑恢复您网站的干净备份。
CVSS 向量
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。