从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 插件名称: 2. 漏洞类型:未验证存储型XSS(Unauthenticated Stored XSS) 3. 描述:插件在处理事件注册时未对某些参数进行清理和转义,允许未授权用户执行跨站脚本攻击。 4. 证明概念: - 需要安装 插件。 - 作为未授权用户,注册参加事件。 - 输入payload 作为第一个和最后一个名字。 - 作为管理员,查看注册: 。 - 点击“详细视图”,然后选择包含payload的注册。 - 点击“编辑选定”,查看XSS。 5. 受影响的插件: ,已修复在2.12.4版本中。 6. 参考:CVE-2024-7982。 7. 分类: - 类型:XSS - OWASP TOP 10:A7: Cross-Site Scripting (XSS) - CWE:CWE-79 - CVSS:8.8(高) 8. 其他: - 原始研究者:Bob Matyas - 提交者:Bob Matyas - 提交者网站:https://www.bobmatyas.com - 提交者Twitter:bobmatyas - 验证:是 - WPVDB ID:d79e1e9c-980d-4974-bfbd-d87d6e28d9a6 - 发布时间:2024-10-18 - 添加时间:2024-10-18 - 最后更新时间:2024-10-18 - 其他相关漏洞:PixTypes <= 1.4.15 - Reflected XSS,Owl Carousel <= 0.5.3 - Contributor+ Stored Cross-Site Scripting via shortcode,String Locator < 2.6.6 - Reflected Cross-Site Scripting,Photo Gallery by Ays < 5.1.4 - Reflected XSS,Live Forms < 1.3.0 - Unauthenticated Stored Cross-Site Scripting (XSS)