从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 插件名称:Logo Slider < 4.5.0 2. 漏洞类型:Author+ Stored XSS 3. 描述:插件在输出Logo设置时未进行适当的清理和转义,允许具有作者权限的用户执行跨站脚本攻击。 4. 证明概念: - 创建一个Logo。 - 将“Brand Name”字段更改为“123”并设置为自动聚焦。 - 设置任何图像为品牌Logo并发布。 - 创建一个新的Logo Slider。 - 将短代码添加到帖子并发布。 - 在滑块中查看帖子并移动鼠标以触发XSS。 5. 受影响的插件:logo-slider-wp 6. 修复状态:已修复在4.5.0版本中。 7. 参考: - CVE编号:CVE-2024-10473 - URL:https://research.cleantalk.org/cve-2024-10473/ 8. 分类: - 类型:XSS - OWASP Top 10:A7: Cross-Site Scripting (XSS) - CWE编号:CWE-79 - CVSS评分:4.8(中等) 9. 其他信息: - 原始研究者:Dmitrii Ignatyev - 提交者:Dmitrii Ignatyev - 提交者网站:https://www.linkedin.com/in/dmitriy-ignatyev-8a9189267/ - 验证状态:是 - WPVDB ID:7512cbdf-cf27-4a1f-bac8-9fcb14bf463e 10. 时间线: - 公开发布日期:2024-11-07(大约22天前) - 添加日期:2024-11-07(大约22天前) - 最后更新日期:2024-11-25(大约3天前) 这些信息提供了关于漏洞的详细描述、影响范围、修复状态以及相关参考和分类等关键细节。