关键信息 描述 漏洞类型: 存储型XSS(Stored Cross-Site Scripting) 影响版本: Polls CP <= 1.0.75 问题: 插件未对某些投票设置进行清理和转义,允许高权限用户(如管理员)执行存储型XSS攻击,即使在禁用 功能的情况下(例如在多站点设置中)。 概念验证 (PoC) 1. 访问 2. 添加payload: 3. 在包含投票的页面上,XSS警告将弹出。 影响插件 cp-polls: 已在1.0.77版本中修复 参考 CVE: CVE-2024-8854 分类 类型: XSS OWASP Top 10: A7: 跨站脚本(XSS) CWE: CWE-79 CVSS: 3.5 (低) 其他信息 原始研究员: Bob Matyas 提交者: Bob Matyas 提交者网站: https://www.bobmatyas.com 提交者Twitter: bobmatyas 验证: 是 WPVDB ID: bffe0f75-33a2-4270-af13-835b8eb65688 时间线 公开发布: 2024-09-01 添加: 2024-09-23 最后更新: 2024-09-23