从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 插件名称:Popup Maker < 1.19.1 2. 漏洞类型:Admin+ Stored XSS 3. 描述:插件未对某些设置进行清理和转义,允许高权限用户(如管理员)在未过滤的HTML能力被禁用的情况下执行存储型跨站脚本攻击。 4. 证明概念: - 在管理员创建/编辑帖子时,使用特定的短代码。 - 在插件设置中,将特定的payload添加到“Success Message”字段。 - 用户提交帖子后,XSS将被触发。 5. 受影响的插件:popup 6. 参考信息: - CVE编号:CVE-2024-5561 - URL:https://research.cleantalk.org/cve-2024-5561/ 7. 分类: - 类型:XSS - OWASP Top 10:A7: Cross-Site Scripting (XSS) - CWE编号:CWE-79 8. 其他信息: - 原始研究者:Dmitrii Ignatyev - 提交者:Dmitrii Ignatyev - 提交者网站:https://www.linkedin.com/in/dmitriy-ignatyev-8a9189267/ - 验证:是 - WPVDB ID:6a87cc25-bd7d-40e3-96f9-26646cd6f736 - 发布日期:2024-08-19 - 添加日期:2024-08-19 - 最后更新日期:2024-08-19 - 其他漏洞列表:Pz-LinkCard < 2.5.3 - Reflected XSS, FV Flowplayer Video Player < 7.5.35.7212 - Reflected XSS, SP Project & Document Manager < 4.68 - Admin+ Stored XSS, Martins Free & Easy SEO Link buildings < 1.2.30 - Reflected XSS, flowpaper < 2.0.4 - Contributor+ Stored XSS 这些信息提供了关于漏洞的详细描述和如何利用漏洞的步骤,以及漏洞的分类和参考信息。