从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 插件名称:WP ULike < 4.7.5 2. 漏洞类型:Admin+ Stored XSS via Widgets 3. 描述:插件未对某些设置进行清理和转义,允许高权限用户(如编辑器)在未过滤的HTML被禁止时执行跨站脚本攻击。 4. 证明概念: - 添加WP ULike插件。 - 在插件标题中输入payload: - 保存并查看XSS触发。当任何用户访问插件页面(/wp-admin/widgets.php)时,XSS也会触发。 5. 受影响插件:wp-Unlike 6. 修复情况:已修复在4.7.5版本中。 7. 参考: - CVE:CVE-2024-7879 - URL:https://research.cleantalk.org/cve-2024-7879/ 8. 分类: - 类型:XSS - OWASP Top 10:A7: Cross-Site Scripting (XSS) - CWE:CWE-79 - CVSS:3.5 (low) 9. 其他信息: - 原始研究者:Dmitrii Ignatyev - 提交者:Dmitrii Ignatyev - 提交者网站:https://www.linkedin.com/in/dmitriy-ignatyev-8a9189267/ - 验证:是 - WPVDB ID:5ad1c40a-5e13-40b6-8652-c23a1f39abc2 10. 时间线: - 公开发布:2024-10-16(大约24天前) - 添加:2024-10-16(大约24天前) - 最后更新:2024-10-16(大约24天前) 这些信息提供了关于漏洞的详细描述、影响范围、修复情况以及相关参考和时间线。