关键漏洞信息 描述 漏洞类型: XSS (跨站脚本攻击) 影响插件: AVIF & SVG Uploader <= 1.1.0 问题: 插件未对上传的SVG文件进行清理,允许具有Author及以上角色的用户上传包含XSS有效载荷的恶意SVG文件。 影响范围 修复版本: 1.1.1 参考信息 CVE编号: CVE-2024-9238 分类 OWASP Top 10: A7: Cross-Site Scripting (XSS) CWE编号: CWE-79 CVSS评分: 6.8 (中等) 时间线 公开发布日期: 2024-09-16 添加日期: 2024-10-07 最后更新日期: 2024-10-07 其他相关漏洞 TinyMCE Custom Styles < 1.1.3 - Admin+ Stored XSS Send From <= 2.2 - Authenticated (Administrator+) Stored Cross-Site Scripting Page Builder by AZEXO <= 1.27133 - Contributor+ Stored Cross-Site Scripting via shortcode Header Footer Code Manager Pro < 1.0.17 - Reflected Cross-Site Scripting via message Themesflat Addons For Elementor <= 2.2.5 - Authenticated (Contributor+) Stored Cross-Site Scripting