WordPress的3.0.6版eu-cookie-law插件(又称为EU Cookie法(GDPR))容易受到存储XSS的影响,原因是管理区域中几个配置选项的编码不正确以及显示的Cookie同意消息。这会影响"字体颜色","背景颜色"和"禁用Cookie"文本。具有高特权的攻击者可以攻击其他用户。
管理员可以在配置区域为插件设置多个选项。在插入HTML页面之前,大多数都可以正确转义。但是,可以利用三个设置值来插入任意JavaScript和HTML。便可以突破HTML属性并插入script包含JavaScript 的标签