关键漏洞信息 描述 漏洞类型: 存储型XSS (Stored Cross-Site Scripting) 受影响插件: PVN Auth Popup <= 1.0.0 问题: 插件未对某些设置进行清理和转义,允许高权限用户(如管理员)执行存储型XSS攻击,即使在多站点设置中禁用了 功能。 概念验证 (Proof of Concept) 1. 访问 2. 在第一个部分的“Login text”输入框中输入payload: 3. 保存并查看XSS效果。 - 注意:其他字段也可能易受攻击。 影响的插件 插件名称: pvn-auth-popup 修复状态: 尚无已知修复方案 参考资料 CVE编号: CVE-2024-6713 分类 类型: XSS OWASP Top 10: A7: 跨站脚本 (XSS) CWE编号: CWE-79 CVSS评分: 3.5 (低) 其他信息 原始研究者: Vuln Seeker Cybersecurity Team 提交者网站: http://vulnseeker.org 验证状态: 已验证 WPVDB ID: 24685b19-0a44-411a-9e1b-d4d0627d7cb6 时间线 公开发布日期: 2024-06-05 添加日期: 2024-07-23 最后更新日期: 2024-07-23