从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 插件名称:Chatbot Support AI <= 1.0.2 2. 插件版本:<= 1.0.2 3. 漏洞类型:Admin+ Stored XSS 4. 描述:插件未对某些设置进行清理和转义,允许高权限用户(如管理员)在未过滤的HTML能力被禁用时执行存储型跨站脚本攻击。 5. PoC(Proof of Concept): - 导航到 - 修改 'Starting Message' 值为XSSpayload: - 保存更改 - 访问包含聊天机器人页面的主页,观察执行的payload 6. 受影响插件:chatbot-support-ai 7. 参考: - CVE - OWASP Top 10 - CWE 8. 其他: - 原始研究者:Kieran Burge - 提交者:Kieran Burge - 提交者网站:https://prisminfosec.com/ - 验证:是 - WPVDB ID:ce909d3c-2ef2-4167-87c4-75b5effb2a4d - 发布时间:2024-08-13 - 添加时间:2024-08-06 - 最后更新时间:2024-08-06 - 相关漏洞列表: - Restaurant Menu < 2.3.6 - Contributor+ Stored XSS via Shortcode - Quiz And Survey Master < 8.1.14 - Authenticated (Contributor+) Stored Cross-Site Scripting - Yoast SEO: Local < 15.0 - Contributor+ Stored XSS - Flatsome - Comment Attachment 1.0 - XSS 这些信息可以帮助用户了解该插件的漏洞情况、如何利用漏洞以及受影响的插件版本等关键信息。