目标: 1000 元 · 已筹: 1000 元
精选漏洞公告、利用分析、安全博客、GHSA Advisory 等情报来源,已自动清洗 + 中英双语呈现,持续更新。
从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. **漏洞名称**:Giveaways and Contests by RafflePress Giveaways” - 编辑一个默认赠品 - 在设计下,将“Button color”字段更改为`` - 保存设置并在前端或预览中查看XSS 4. **受影响的插件**:rafflepress 5. **修复情况**:已修复在1.12.16版本…
从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. **插件名称**:CM Pop-Up Banners for WordPress ` - 在活动选项中启用“显示在每个页面”选项。 - 保存更改并在前端查看任何页面,或预览活动以触发XSS。 5. **受影响的插件**:cm-pop-up-banners 6. **修复情况**:已修复在1.7.3版本中。 7. **参考**: - CVE…
从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. **插件名称**:Adicon Server <= 1.2 2. **漏洞类型**:SQL Injection (SQL注入) 3. **插件描述**:插件在使用SQL语句时未对参数进行验证和转义,允许管理员执行SQL注入攻击。 4. **漏洞利用方法**: - 作为管理员,访问`https://example.com/wp-admin/…
从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. **插件名称**:Quick Code <= 1.0 2. **漏洞类型**:XSS(Cross-Site Scripting) 3. **漏洞描述**:插件在某些地方没有CSRF检查,且缺少验证和转义,允许攻击者通过CSRF攻击在管理员登录的页面添加存储型XSSpayload。 4. **漏洞利用**:攻击者可以利用插件的漏洞在管理员登…
从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. **插件名称**:Misiek Photo Album <= 1.4.3 2. **漏洞类型**:存储型XSS(Stored XSS)通过CSRF 3. **描述**:插件在某些地方没有CSRF检查,且缺少验证和转义,允许攻击者通过CSRF攻击在管理员登录时添加存储型XSSpayload。 4. **证明概念**:提供了一个示例HTML代…
从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. **插件名称**:Simple Headline Rotator document.forms[0].submit(); ``` 5. **受影响的插件**:simple-headline-rotator 6. **CVE编号**:CVE-2024-7860 7. **OWASP Top 10**:A7: Cross-Site Scrip…
从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. **插件名称**:Misiek Photo Album <= 1.4.3 2. **漏洞类型**:Album Deletion via CSRF 3. **描述**:插件在某些地方没有CSRF检查,允许攻击者通过CSRF攻击删除已登录用户的任意相册。 4. **影响插件**:misiek-photo-album 5. **参考编号**:C…
从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. **插件名称**:Misiek Paypal <= 1.1.20090324 2. **漏洞类型**:XSS(Cross-Site Scripting) 3. **影响范围**:插件版本 <= 1.1.20090324 4. **描述**:插件缺少CSRF检查和缺失验证,允许攻击者通过CSRF攻击在管理员添加存储型XSSpayload。 …
从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. **漏洞名称**:Blog Introduction <= 0.3.0 - Settings Update via CSRF 2. **描述**:插件在更新其设置时没有CSRF检查,这可能会允许攻击者通过CSRF攻击更改管理员的设置。 3. **证明概念**:提供了一个示例HTML文件,展示了如何通过CSRF攻击更改插件设置。 4. **…
从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. **插件名称**:ILC Thickbox <= 1.0 2. **漏洞类型**:CSRF(跨站请求伪造) 3. **插件描述**:插件在更新其设置时没有CSRF检查,允许攻击者通过CSRF攻击更改管理员的设置。 4. **代码示例**:展示了如何通过CSRF攻击更改插件设置的示例代码。 5. **受影响的插件**:ILC Thickbo…
从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. **插件名称**:GS Logo Slider Lite < 3.6.9 2. **漏洞类型**:Admin+ Stored XSS 3. **描述**:插件未对某些设置进行清理和转义,允许高权限用户(如管理员)在未过滤HTML能力被禁用的情况下执行存储型跨站脚本攻击。 4. **证明概念**: - 添加Logo短代码 - 拦截保存短代码…
从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. **插件名称**:Floating Contact Button <` - 点击旁边的“jQuery”按钮。 - 点击“保存设置”以应用更改。 - 确认在主页屏幕上触发了XSS。 5. **受影响的插件**:floating-contact 6. **修复状态**:已修复在2.8版本中。 7. **参考**: - CVE:无 - OWAS…
从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. **插件名称**:Starbox < 3.5.2 2. **漏洞类型**:Admin+ Stored XSS 3. **描述**:插件未对某些设置进行清理和转义,允许高权限用户(如管理员)在未过滤的HTML能力被禁用的情况下执行存储型跨站脚本攻击。 4. **证明概念**:提供了一个步骤说明如何利用漏洞。 5. **受影响的插件**:st…
从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. **插件名称**:WP MultiTasking <= 0.1.12 2. **漏洞类型**:CSRF(跨站请求伪造) 3. **描述**:插件在更新其设置时没有CSRF检查,允许攻击者通过CSRF攻击更改管理员的设置。 4. **证明概念**:提供了一个示例HTML文件,展示了如何通过CSRF攻击更改设置。 5. **受影响的插件**:…
从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. **插件名称**:WP MultiTasking <= 0.1.12 2. **漏洞类型**:SMTP Settings Update via CSRF 3. **描述**:插件在更新其设置时没有CSRF检查,允许攻击者通过CSRF攻击更改管理员的设置。 4. **证明概念**:提供了一个示例HTML代码,演示如何通过CSRF攻击更改设置…
从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. **插件名称**:Opti Marketing <= 2.0.9 2. **漏洞类型**:SQL注入(SQLi) 3. **描述**:插件在使用AJAX动作时未正确清理和转义参数,导致SQL注入。 4. **PoC(Proof of Concept)**:提供了一个示例命令,用于演示如何利用漏洞。 5. **受影响的插件**:opti-m…
从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. **插件名称**:TrueBooker <= 1.0.2 2. **漏洞类型**:SQL注入(SQLi) 3. **描述**:插件在使用AJAX动作时未正确清理和转义参数,导致SQL注入。 4. **PoC**(Proof of Concept)示例: ```bash curl -iX POST "https://example.com/…
从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. **插件名称**:WP MultiTasking <= 0.1.12 2. **漏洞类型**:CSRF(跨站请求伪造) 3. **描述**:插件在更新退出弹窗时没有CSRF检查,允许攻击者通过CSRF攻击使已登录的管理员执行此类操作。 4. **证明概念**:提供了一个示例HTML代码,展示了如何利用CSRF漏洞。 5. **受影响插件*…
从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. **插件名称**:EventON < 2.2.17 - Admin+ Stored XSS 2. **描述**:插件未对某些设置进行清理和转义,允许高权限用户(如管理员)在不允许unfiltered_html时执行跨站脚本攻击。 3. **PoC**(Proof of Concept): - 访问:/wp-admin/admin.php?…
从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. **插件名称**:WP MultiTasking <= 0.1.12 2. **漏洞类型**:Cross-Site Request Forgery (CSRF) 3. **描述**:插件在更新欢迎弹窗时没有CSRF检查,允许攻击者通过CSRF攻击使已登录的管理员执行此类操作。 4. **影响插件**:wp-multitasking 5. …
每篇文章经过自动 HTML→Markdown 清洗 + LLM 去噪 + 中英双语翻译。原始链接保留在文章末尾。
想看哪个安全博客 / 公告源?邮件告诉我们,每周新接 1-2 个。