关键漏洞信息 漏洞标题 My Sticky Bar < 2.6.8 - Admin+ Stored XSS 描述 该插件未对某些设置进行清理和转义,这可能允许具有高权限的用户(如管理员)执行存储型跨站脚本攻击,即使在不允许未过滤HTML的情况下(例如在多站点设置中)。 影响的插件 mystickymenu (Fixed in 2.6.8) 参考资料 CVE: CVE-2024-2643 YouTube Video: 链接 (视频截图) 分类 类型: XSS OWASP Top 10: A7 - Cross-Site Scripting (XSS) CWE: CWE-79 CVSS: 3.5 (低) 其他信息 原始研究员: Dmitrii Ignatyev 提交者: Dmitrii Ignatyev 提交者网站: https://research.cleantalk.org 验证: 是 WPVDB ID: 194ebf81-8fe4-4c74-8174-35d0ac00ac93 时间线 公开发布: 2024-02-28 添加: 2024-03-26 最后更新: 2024-03-26 其他相关漏洞 Tumult Hype Animations < 1.9.12 - Cross-Site Request Forgery to Cross-Site Scripting (2024-03-28) Infinite < 1.1.2 - Authenticated (Contributor+) Stored Cross-Site Scripting via project_Url Parameter (2024-06-27) TweetScroll Widget < 1.3.7 - Authenticated (Contributor+) Stored Cross-Site Scripting (2024-04-30) ULTIMATE VIDEO GALLERY < 1.4 - Reflected Cross-Site Scripting (2025-03-18) Give < 2.3.0 - Cross-Site Scripting (XSS) (2019-02-05)