一、 漏洞 CVE-2024-10146 基础信息
漏洞信息
                                        # Simple File List < 6.1.13 - 反射型跨站脚本漏洞

## 漏洞概述
Simple File List WordPress插件在6.1.13版本之前存在一个反射型跨站脚本漏洞,该漏洞源于生成的URL在输出到属性之前未进行清理和转义处理,可能导致管理员用户受到影响。

## 影响版本
- Simple File List WordPress插件 6.1.13 之前的版本

## 漏洞细节
插件在生成URL并在属性中输出时,未对URL进行适当的清理和转义操作。攻击者可以利用这一点注入恶意脚本,当管理员访问了被攻击者精心构造的URL后,这些脚本会在管理员的浏览器中执行。

## 影响
管理员用户可能受到反射型跨站脚本攻击的影响,可能导致敏感信息泄露或其他恶意活动。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Simple File List < 6.1.13 - Reflected Cross-Site Scripting
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The Simple File List WordPress plugin before 6.1.13 does not sanitise and escape a generated URL before outputting it back in an attribute, leading to a Reflected Cross-Site Scripting which could be used against admins.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
WordPress plugin Simple File List 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。 WordPress plugin Simple File List 6.1.13之前版本存在安全漏洞,该漏洞源于生成的URL输出之前不会对其进行清理和转义,从而导致反射型跨站脚本。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-10146 的公开POC
# POC 描述 源链接 神龙链接
1 Simple File List WordPress plugin \u003C 6.1.13 contains a reflected cross-site scripting caused by unsanitized URL output in an attribute, letting attackers execute malicious scripts in admin browsers, exploit requires victim to be an admin. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2024/CVE-2024-10146.yaml POC详情
三、漏洞 CVE-2024-10146 的情报信息
四、漏洞 CVE-2024-10146 的评论

暂无评论

发表评论