从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 插件名称:Everest Forms < 3.0.4.2 2. 漏洞类型:Admin+ Stored XSS 3. 描述:插件未对某些设置进行清理和转义,允许具有高权限的用户(如管理员)在未过滤的HTML能力被禁止时执行存储型跨站脚本攻击。 4. 证明概念: - 步骤1:创建/编辑一个表单。 - 步骤2:添加/编辑一个电子邮件块,并在主要设置中更改“自定义必填消息”字段。 - 步骤3:保存表单。 - 当表单提交且电子邮件字段为空时,XSS将被触发。 5. 受影响的插件:everest-forms 6. 修复状态:已修复在3.0.4.2版本中。 7. 参考: - CVE:CVE-2024-10471 - URL:https://research.cleantalk.org/cve-2024-10471 8. 分类: - 类型:XSS - OWASP Top 10:A7: Cross-Site Scripting (XSS) - CWE:CWE-79 - CVSS:3.5 (低) 9. 其他信息: - 原始研究者:Dmitrii Ignatyev - 提交者:Dmitrii Ignatyev - 提交者网站:https://www.linkedin.com/in/dmitriy-ignatyev-8a9189267/ - 验证:是 - WPVDB ID:85d590c9-c96d-40c9-aa59-48302ba3d63c - 发布时间:2024-11-05 - 添加时间:2024-11-05 - 最后更新时间:2024-11-05 10. 其他漏洞: - WishSuite < 1.3.8 - Authenticated (Contributor+) Stored Cross-Site Scripting - P3 (Plugin Performance Profiler) <= 1.5.3.8 - Cross-Site Scripting (XSS) - Custom Tables 3.4.4 - iframe.php key Parameter XSS - Button Generator - easily Button Builder < 2.3.4 - Admin+ Stored XSS - Eduma < 5.4.8 - Reflected Cross-Site Scripting 这些信息提供了关于Everest Forms < 3.0.4.2插件中存储型跨站脚本(XSS)漏洞的详细描述和解决方案。