关键漏洞信息 描述 漏洞类型: Admin+ Stored XSS 受影响插件: Event Tickets with Ticket Scanner < 2.3.8 问题: 插件未对某些参数进行清理和转义,允许低至管理员角色的用户执行跨站脚本攻击。 概念验证 (PoC) 1. 进入“Event Tickets”并选择右上角菜单选项中的“Auth Token”部分。 2. 点击“Add”,在弹出窗口中输入名称为 的payload。 3. 点击“OK”,然后查看XSS效果。 影响的插件 插件名称: event-tickets-with-ticket-scanner 修复版本: 2.3.8 参考资料 CVE编号: CVE-2024-6711 分类 类型: XSS OWASP Top 10: A7: Cross-Site Scripting (XSS) CWE编号: CWE-79 CVSS评分: 3.5 (低) 其他信息 原始研究员: Anas Jamal 和 Satyam Singh 提交者: Anas Jamal 和 Satyam Singh 验证状态: 已验证 WPVDB ID: bf431b81-2db9-4fcb-841c-9b51d1870bf8 时间线 公开发布日期: 2024-04-20 添加日期: 2024-08-13 最后更新日期: 2024-08-13