从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 插件名称:Pocket Widget <= 0.1.3 2. 漏洞类型:Admin+ Stored XSS 3. 描述:插件未对某些设置进行清理和转义,允许高权限用户(如管理员)在未过滤的HTML能力被禁用时执行存储型跨站脚本攻击。 4. 证明概念:通过以下步骤: - 访问插件设置页面: - 在消费者密钥中输入payload: - 保存设置并查看XSS 5. 受影响的插件:pocket-widget 6. 参考:CVE-2024-7918 7. 分类: - 类型:XSS - OWASP Top 10:A7: Cross-Site Scripting (XSS) - CWE:CWE-79 8. 其他: - 原始研究者:Bob Matyas - 提交者:Bob Matyas - 提交者网站:https://www.bobmatyas.com - 提交者Twitter:bobmatyas - 验证:是 - WPVDB ID:b1697646-1090-4a2b-9987-cec07428378e - 发布日期:2024-08-19 - 添加日期:2024-08-19 - 最后更新日期:2024-08-19 - 相关漏洞列表: - Easing Slider <= 2.2.0.6 - 2 x Cross-Site Scripting (XSS) - WP Accessibility Helper (WAH) < 0.6.0.7 - Reflected Cross-Site Scripting (XSS) - I Love It - VideoJS Cross-Site Scripting - Monolit < 2.0.7 - Reflected XSS - World of Warcraft Armory Table 0.2.5 - WoWArmoryTable.php page Parameter Reflected XSS 这些信息提供了关于Pocket Widget <= 0.1.3插件中Admin+ Stored XSS漏洞的详细描述和解决方案。