从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 标题:存储型XSS利用两个文件在usememos/memos - 报告日期:2023年1月3日 - 验证状态:已验证 2. 漏洞类型: - 类型:CWE-79:跨站脚本攻击(XSS) - 存储型 3. 严重性: - 等级:严重(9.8) 4. 漏洞详情: - 攻击向量:网络 - 攻击复杂性:低 - 权限要求:无 - 用户交互:无 - 范围:未改变 - 机密性:高 - 完整性和可用性:高 5. 受影响版本: - 版本:0.9.1 6. 可见性: - 状态:公开 7. 发现者: - 用户名:Mahmoud Mosbah - Twitter:@xmosb7 8. 修复者: - 用户名:STEVEN - Twitter:@boojack 9. 影响: - 描述:如果被利用,该漏洞可能会允许攻击者窃取敏感信息,如登录凭据,从而通过窃取cookie进行账户接管。 10. 发生情况: - 报告处理:正在处理报告,并将在24小时内联系usememos/memos团队。 - GitHub问题:已创建一个GitHub问题,要求维护者创建一个SECURITY.md文件。 - 修改报告:Mahmoud Mosbah修改了报告。 - 验证:STEVEN验证了此漏洞。 - 奖励:xmosb7已获得披露奖金。 - 修复:修复已发布在0.10.0版本中,修复者已获得修复奖金。 - 验证:memo.go#L346已通过验证。 - CVE编号:CVE-2023-0109已发布。 11. 参与: - 签入:可以通过签入加入此对话。 这些信息提供了关于漏洞的详细描述、影响、发现和修复过程的关键细节。