从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 插件名称:NinjaTeam Header Footer Custom Code <= 1.2 2. 漏洞类型:Admin+ Stored XSS via CSS Styles 3. 描述:插件未对某些设置进行清理和转义,允许具有高权限的用户(如管理员)在未过滤的HTML能力被禁止时执行存储型跨站脚本攻击。 4. 证明概念:通过以下步骤: - 访问插件设置。 - 在CSS字段中输入payload。 - 保存并查看站点以查看XSS。 5. 受影响的插件:header-footer-code 6. 修复状态:已修复在1.2版本中。 7. 参考: - CVE:无 - OWASP Top 10:A7: Cross-Site Scripting (XSS) - CWE:CWE-79 8. 其他信息: - 原始研究者:Bob Matyas - 提交者:Bob Matyas - 提交者网站:https://www.bobmatyas.com - 提交者Twitter:bobmatyas - 验证:是 - WPVDB ID:9c5efe3c-95a8-4647-86c0-20aa7dd92b66 - 发布时间:2024-08-22 - 添加时间:2024-08-15 - 最后更新时间:2024-08-15 - 其他相关漏洞:WordPress 2.0 - 3.0.1 Cross-Site Scripting (XSS) in wp-admin/plugins.php, PageLayer < 1.7.8 - Author+ Stored XSS, Home Villas <= 2.2 - Multiple Cross-Site Scripting Issues, ExactMetrics < 7.12.1 - Contributor+ Stored XSS, Stock Locations for WooCommerce < 2.6.0 - Authenticated (Administrator+) Stored Cross-Site Scripting via settings 这些信息提供了关于漏洞的详细描述和如何利用漏洞的步骤,以及受影响的插件和修复状态。