从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 插件名称:RSS Feed Widget < 3.0.0 2. 漏洞类型:Contributor+ Stored XSS 3. 描述:插件在输出包含插件短代码的页面/帖子时,未验证和转义某些短代码属性,允许具有贡献者及以上角色的用户执行存储型跨站脚本攻击。 4. 证明概念: - 步骤1:作为管理员,访问 并为输入添加任何数值。 - 步骤2:作为贡献者,添加短代码 。 - 步骤3:发布帖子并在YouTube框上悬停以查看XSS。 5. 受影响的插件:rss-feed-widget 6. 修复情况:已修复在3.0.0版本中。 7. 参考:CVE-2024-9836 8. 分类: - 类型:XSS - OWASP Top 10:A7: Cross-Site Scripting (XSS) - CWE:CWE-79 - CVSS:5.9 (medium) 9. 其他信息: - 原始研究者:Bob Matyas - 提交者:Bob Matyas - 提交者网站:https://www.bobmatyas.com - 提交者Twitter:bobmatyas - 验证:是 - WPVDB ID:f87af54e-3e58-4c29-8a30-e7d52234c9d4 10. 时间线: - 公开发布:2024-10-22(大约25天前) - 添加:2024-10-22(大约25天前) - 最后更新:2024-10-22(大约25天前) 这些信息提供了关于插件漏洞的详细描述和如何利用漏洞的步骤,以及漏洞的分类和修复情况。