从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 插件名称:Secure Copy Content Protection and Content Locking < 4.1.7 - Admin+ Stored XSS 2. 描述:插件未对某些设置进行清理和转义,允许高权限用户(如管理员)在未过滤的HTML能力被禁止时执行存储型跨站脚本攻击。 3. 证明概念: - 步骤1:访问 - 步骤2:在“Custom CSS”文本区域输入payload。 - 步骤3:在前端查看XSS。 4. 受影响插件:secure-copy-content-protection(已修复在4.1.7版本中) 5. 参考:CVE-2024-6388 6. 分类: - 类型:XSS - OWASP Top 10:A7: Cross-Site Scripting (XSS) - CWE:CWE-79 7. 其他信息: - 原始研究者:bob.matyas@automattic.com - 提交者:Bob Matyas - 提交者网站:https://www.bobmatyas.com - 提交者Twitter:bobmatyas - 验证:是 - WPVDB ID:f4df74c2-4c95-4d1c-97c1-ebfc225f6b93 - 发布时间:2024-08-13 - 添加时间:2024-08-13 - 最后更新时间:2024-08-13 - 其他漏洞列表: - JobSearch < 1.5.6 - Unauthenticated Reflected XSS - Compact WP Audio Player < 1.9.8 - Contributor+ Stored XSS - Goya < 1.0.8.8 - Unauthenticated Reflected Cross-Site Scripting via Multiple Parameters - Quick Paypal Payments < 5.7.26 - Contributor+ Stored XSS - ReDi Restaurant Reservation < 24.0303 - Reflected Cross-Site Scripting