目标: 1000 元 · 已筹: 1000 元
精选漏洞公告、利用分析、安全博客、GHSA Advisory 等情报来源,已自动清洗 + 中英双语呈现,持续更新。
从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. **插件名称**:Visual Sound (old) <= 1.06 2. **漏洞类型**:CSRF(跨站请求伪造) 3. **描述**:插件在更新其设置时没有CSRF检查,允许攻击者通过CSRF攻击更改管理员的设置。 4. **证明概念**:提供了一个示例HTML文件,展示了如何通过CSRF攻击更改设置。 5. **受影响的插件**…
从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. **插件名称**:infolinks Ad Wrap <= 1.0.2 2. **漏洞类型**:CSRF(跨站请求伪造) 3. **插件描述**:插件在更新设置时没有CSRF检查,允许攻击者通过CSRF攻击更改管理员的设置。 4. **插件名称**:infolinks-ad-wrap 5. **插件ID**:14b42ba8-7a8b-4…
从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. **插件名称**:Accordion Image Menu <= 3.1.3 2. **漏洞类型**:XSS(Cross-Site Scripting) 3. **影响范围**:插件版本 <= 3.1.3 4. **漏洞描述**:插件缺少CSRF检查和输入验证,允许攻击者通过CSRF攻击在管理员界面添加存储型XSSpayload。 5. …
从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. **漏洞名称**:Special Feed Items <= 1.0.1 - Stored XSS via CSRF 2. **描述**:插件在某些地方没有CSRF检查,且缺少验证和转义,允许攻击者通过CSRF攻击在管理员登录时添加存储型XSSpayload。 3. **证明概念**:提供了一个示例HTML文件,展示了如何通过CSRF攻击…
从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. **插件名称**:Review Ratings <= 1.6 2. **漏洞类型**:XSS(Cross-Site Scripting) 3. **漏洞描述**:插件在某些地方没有CSRF检查,且缺少验证和转义,允许攻击者通过CSRF攻击在管理员登录时添加存储型XSSpayload。 4. **漏洞利用代码**:提供了一个示例代码片段,展…
从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. **插件名称**:Vikinghammer Tweet <= 0.2.4 2. **漏洞类型**:CSRF (Cross-Site Request Forgery) 和 Stored XSS (Cross-Site Scripting) 3. **描述**:插件在某些地方没有CSRF检查,且缺少验证和转义,允许攻击者通过CSRF攻击在管理…
从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. **漏洞名称**:`Posts reminder <= 0.20 - Settings Update via CSRF` 2. **描述**:插件在更新其设置时没有CSRF检查,这可能会允许攻击者通过CSRF攻击更改登录管理员的设置。 3. **证明概念**:提供了一个示例HTML文件,展示了如何通过CSRF攻击更改设置。 4. **受影…
从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. **插件名称**:`Enhanced Search Box ``` 6. **受影响的插件**:`extendedsb` 7. **参考链接**:`CVE-2024-8091` 8. **分类**: - OWASP Top 10:A2: Broken Authentication and Session Management - CWE:…
从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. **插件名称**:NinjaTeam Header Footer Custom Code <= 1.2 2. **漏洞类型**:Admin+ Stored XSS via CSS Styles 3. **描述**:插件未对某些设置进行清理和转义,允许具有高权限的用户(如管理员)在未过滤的HTML能力被禁止时执行存储型跨站脚本攻击。 4. …
从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. **插件名称**:NinjaTeam Header Footer Custom Code 头部和底部代码 - 在头部代码中注入``。 - 访问网站。 5. **受影响的插件**:header-footer-code 6. **修复情况**:已修复在1.2版本中。 7. **参考**:CVE、OWASP Top 10、CWE。 8. **其…
从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. **插件名称**:Carousel Slider < 2.2.14 2. **漏洞类型**:Editor+ Stored XSS 3. **描述**:插件未对某些设置进行清理和转义,允许高权限用户(如编辑器)在不允许unfiltered_html时执行跨站脚本攻击。 4. **证明概念**:通过添加新幻灯片并执行以下步骤: - 添加英雄幻…
从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. **插件名称**:AI Engine < 2.4.8 2. **漏洞类型**:SQL注入(SQLi) 3. **影响版本**:2.4.8及之前版本 4. **描述**:插件在使用参数之前未正确清理和转义,导致管理员用户在查看聊天机器人讨论时可以利用SQL注入。 5. **PoC**(Proof of Concept)示例: - 请求示例:…
从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. **插件名称**:Favicon Generator < 2.1 2. **漏洞类型**:Arbitrary File Upload via CSRF 3. **描述**:插件没有验证要上传的文件,并且没有CSRF检查,允许攻击者在管理员上传任意文件,如PHP文件。 4. **PoC代码**:提供了一个PoC代码示例,展示了如何利用漏洞上…
从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. **插件名称**:Favicon Generator < 2.1 2. **漏洞类型**: Arbitrary File Deletion via CSRF 3. **描述**:插件的`output_sub_admin_page_0()`函数没有CSRF和路径验证,允许攻击者通过CSRF删除服务器上的任意文件。 4. **影响的插件**:…
从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. **插件名称**:My Sticky Bar < 2.7.3 2. **漏洞类型**:Admin+ Stored XSS 3. **描述**:插件在输出某些设置时没有进行验证和转义,可能导致具有高权限的用户执行存储型跨站脚本攻击。 4. **证明概念**:通过编辑或创建一个条目,拦截保存请求,将`mysticky_option_welco…
从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. **插件名称**:MM-Breaking News <= 0.7.9 2. **漏洞类型**:CSRF(Cross-Site Request Forgery) 3. **描述**:插件在某些地方没有CSRF检查,且缺少验证和转义,允许攻击者通过CSRF攻击在管理员登录时添加存储型XSSpayload。 4. **证明概念**:提供了一个示…
从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. **插件名称**:MM-Breaking News alert(1)' ``` 5. **受影响插件**:mm-breaking-news 6. **CVE编号**:CVE-2024-8056 7. **OWASP Top 10**:A7: Cross-Site Scripting (XSS) 8. **CWE编号**:CWE-79 9.…
从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. **插件名称**:Music Request Manager <= 1.3 2. **漏洞类型**:XSS(Cross-Site Scripting) 3. **漏洞描述**:插件没有CSRF检查,且缺少验证和转义,允许攻击者通过CSRF攻击在管理员登录时添加存储型XSSpayload。 4. **漏洞利用**:攻击者可以利用插件的漏洞在…
从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. **插件名称**:Music Request Manager <= 1.3 2. **漏洞类型**:Reflected Cross-Site Scripting (XSS) 3. **描述**:插件未对`$_SERVER['REQUEST_URI']`参数进行转义,导致在旧版浏览器中输出时可能会引发反射型XSS。 4. **影响插件**:…
从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. **插件名称**:Music Request Manager alert(1)"`。 - 作为管理员查看页面并看到XSS。 5. **受影响的插件**:music-request-manager 6. **CVE编号**:CVE-2024-6019 7. **OWASP Top 10**:A7: Cross-Site Scripting …
每篇文章经过自动 HTML→Markdown 清洗 + LLM 去噪 + 中英双语翻译。原始链接保留在文章末尾。
想看哪个安全博客 / 公告源?邮件告诉我们,每周新接 1-2 个。