从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 插件名称:YaDisk Files <= 1.2.5 2. 漏洞类型:Admin+ Stored XSS 3. 描述:插件未对某些设置进行清理和转义,允许高权限用户(如管理员)在未过滤的HTML能力被禁止时执行存储型跨站脚本攻击。 4. PoC(Proof of Concept): - 1. 访问 - 2. 在“Yadisk Login”字段中添加payload - 3. 保存并查看XSS 5. 受影响插件:wp-yadisk-files 6. CVE编号:CVE-2024-10710 7. 分类: - 类型:XSS - OWASP Top 10:A7: Cross-Site Scripting (XSS) - CWE:CWE-79 - CVSS:3.5 (low) 8. 其他信息: - 原始研究者:Bob Matyas - 提交者:Bob Matyas - 提交者网站:https://www.bobmatyas.com - 提交者Twitter:bobmatyas - 验证:是 - WPVDB ID:165ab698-c8b5-4412-a621-c5365d621fc5 - 发布时间:2024-11-04 - 添加时间:2024-11-04 - 最后更新时间:2024-11-04 - 其他相关漏洞: - BEAR - Bulk Editor and Products Manager Professional for WooCommerce by Pluginus.Net < 1.1.4.3 - Reflected Cross-Site Scripting - qTranslate X <= 3.4.3 - Authenticated Reflected Cross-Site Scripting (XSS) - ApplyOnline < 2.5.6 - Admin+ Stored XSS - WPMobile.App < 11.51 - Reflected Cross-Site Scripting - AdsPlace'r - Ad Manager, Inserter, AdSense Ads <= 1.1.5 - Reflected Cross-Site Scripting 这些信息可以帮助了解漏洞的详细情况、影响范围以及如何利用漏洞进行攻击。