このウェブページのスクリーンショットから、脆弱性に関する以下の主要な情報を取得できます: 1. プラグイン名:Gutenberg Blocks with AI by Kadence WP < 3.2.39 2. 脆弱性タイプ:Contributor+ 格納型XSS 3. 説明:このプラグインは、特定ブロックオプションの出力時に検証およびエスケープを行わず、寄稿者(Contributor)以上の権限を持つユーザーによる格納型クロスサイトスクリプティング(XSS)攻撃を可能にします。 4. 概念実証(PoC):以下の手順によって実行可能です: - 投稿にカウントダウンブロックを追加します。 - ブロック設定で「カウントダウンレイアウト」までスクロールします。 - 「日ラベル」フィールドに を設定します。 - 投稿を保存し、プレビューします。 5. 影響を受けるプラグイン:kadence-blocks 6. 修正状況:バージョン 3.2.39 で修正済み。 7. 参照情報: - CVE - URL 8. 分類: - タイプ:XSS - OWASP TOP 10:A7: クロスサイトスクリプティング (XSS) - CWE:CWE-79 9. その他の情報: - 元研究者:Dmitrii Ignatyev - 報告者:Dmitrii Ignatyev - 報告者のウェブサイト:https://www.linkedin.com/in/dmitriy-ignatyev-8a9189267/ - 検証済み:はい - WPVDB ID:1768de0c-e4ea-4c98-abf1-7ac805f214b8 - 公開日時:2024-07-18 - 追加日時:2024-07-18 - 最終更新日時:2024-07-18 10. 他の脆弱性: - Mhr Post Ticker < 1.2 - 認証済み(管理者以上)格納型クロスサイトスクリプティング - Spiffy Calendar < 3.3.0 - 反射型クロスサイトスクリプティング (XSS) - Click To Tweet <= 2.0.14 - 認証済み(寄稿者以上)格納型クロスサイトスクリプティング - ChatBot < 4.4.9 - 購読者以上 OpenAI 設定更新による格納型XSS - Simple Site Verify < 1.0.8 - 管理者以上 格納型XSS これらの情報は、脆弱性の詳細な説明と対策を提供し、ユーザーが脆弱性を把握し修復するための支援となります。