从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 插件名称:Pods < 3.2.7.1 2. 漏洞类型:Admin+ Stored XSS 3. 描述:插件未对某些设置进行清理和转义,允许高权限用户(如管理员)在未过滤HTML能力被禁止的情况下执行存储型跨站脚本攻击。 4. 证明概念: - 创建新用户Pod。 - 添加新字段到此Pod。 - 将“Label”更改为 ,并将“Field type”更改为“Heading”。 - 在“Heading Options”中将“Heading HTML tag”字段更改为 并保存设置。 - 查看任何用户配置文件以查看XSS。 5. 受影响的插件:Pods 6. 修复情况:已修复在3.2.7.1版本中。 7. 参考: - CVE:CVE-2024-9883 - URL:https://research.cleantalk.org/cve-2024-9883/ 8. 分类: - 类型:XSS - OWASP Top 10:A7: Cross-Site Scripting (XSS) - CWE:CWE-79 - CVSS:3.5 (low) 9. 其他: - 原始研究者:Dmitrii Ignatyev - 提交者:Dmitrii Ignatyev - 提交者网站:https://www.linkedin.com/in/dmitriy-ignatyev-8a9189267/ - 验证:是 - WPVDB ID:ea4b277e-ef47-4e38-bd82-c5a54a95372f - 发布时间:2024-10-15 - 添加时间:2024-10-15 - 最后更新时间:2024-10-15 10. 其他漏洞: - Advanced WP Columns <= 2.0.6 - Admin+ Stored Cross-Site Scripting - A Forms 1.4.0 - a_forms_page Function Multiple Parameter XSS - Betheme - Paid Membership Subscriptions - Effortless Memberships, Recurring Payments & Content Restriction < 2.12.9 - Reflected Cross-Site Scripting - WordPress 5.0-5.2.2 - Authenticated Stored XSS in Shortcode Previews 这些信息提供了关于Pods插件中Admin+ Stored XSS漏洞的详细描述和影响范围。