从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞名称: 2. 严重性: (8.8/10) 3. 发布者: 4. 漏洞编号: 5. 发布时间: 6. 受影响版本: 7. 已修复版本: 8. 描述: - 漏洞利用了用户上传的SVG文件,通过特定的payloads,可以在加载原始图像时执行不受限制的脚本。 - 通过上传特定的SVG文件,可以窃取目标用户的长期会话令牌。 - Zusan在撰写时使用了用户的静态API密钥作为长期会话令牌,这些令牌可以无限期地使用,只要用户不主动请求新的令牌。 9. 基本漏洞利用示例: 10. 视频演示: 这些信息提供了关于漏洞的详细描述、影响范围和修复情况,有助于理解漏洞的严重性和如何利用。