从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 插件名称:EventON < 2.2.17 - Admin+ Stored XSS 2. 描述:插件未对某些设置进行清理和转义,允许高权限用户(如管理员)在不允许unfiltered_html时执行跨站脚本攻击。 3. PoC(Proof of Concept): - 访问:/wp-admin/admin.php?page=eventon-lang - 点击“Other”。 - 在“List”字段中输入XSSpayload并保存更改。 - 通过按ALT + SHIFT + X,XSS将被触发。 - 通过点击“List”字段,XSS将被触发。 4. 受影响插件:eventon-lite - 已修复在2.2.17版本中。 5. 分类: - 类型:XSS - OWASP Top 10:A7: Cross-Site Scripting (XSS) - CWE:CWE-79 6. 其他信息: - 原始研究者:Wesley "dk4trin" Santos - 提交者:Wesley "dk4trin" Santos - 提交者Twitter:dk4trin - 验证:是 - WPVDB ID:468373c6-7e47-489a-92c1-75025c543fd5 - 发布时间:2024-08-19 - 添加时间:2024-08-19 - 最后更新时间:2024-08-19 - 其他相关漏洞: - Claptastic clap! Button <= 1.3 - Authenticated Cross-Site Scripting (XSS) - Gutenberg Blocks by Kadence Blocks - Page Builder Features < 3.2.37 - Authenticated (Contributor+) Stored Cross-Site Scripting via Countdown Timer - Mailtree Log Mail < 1.0.1 - Unauthenticated Stored Cross-Site Scripting - Rate Star Review < 1.5.2 - Reflected Cross-Site Scripting - Gutenberg Block Editor Toolkit - EditorsKit < 1.40.5 - Authenticated (Contributor+) Stored Cross-Site Scripting 这些信息提供了关于漏洞的详细描述、影响范围、修复情况以及相关漏洞的列表。