从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 插件名称:WP ULike < 4.7.2.1 - Subscriber+ Stored-XSS 2. 描述:插件在渲染公共页面时,未正确对用户显示名称进行反XSS过滤。 3. 证明概念: - 启用内容上的点赞可见性。 - 创建一个包含likers框的新帖子或页面。 - 创建一个订阅者级别的用户,其显示名称包含payload。 - 作为该用户点赞内容。 - 观察任何用户访问页面时的XSS JavaScript执行。 4. 受影响的插件:wp-ulike 5. 参考: - CVE:CVE-2024-6792 6. 分类: - 类型:XSS - OWASP Top 10:A7: Cross-Site Scripting (XSS) - CWE:CWE-79 7. 其他: - 原始研究者:stealthcopter - 提交者:stealthcopter - 提交者网站:https://sec.stealthcopter.com - 提交者Twitter:stealthcopter - 验证:是 - WPVDB ID:3c470edd-4b9b-461e-839f-f3a87f0060aa - 发布时间:2024-08-16 - 添加时间:2024-08-16 - 最后更新时间:2024-08-16 - 相关文章: - brafton WordPress Plugin <=3.4.7 - Reflected XSS - WP Media Category Management < 2.3.0 - Reflected Cross-Site Scripting - WordPress 4.0-4.7.2 - Authenticated Stored Cross-Site Scripting (XSS) in YouTube URL Embeds - Job Board by BestWebSoft < 1.0.1 - Admin+ Stored XSS - WP Go Maps (formerly WP Google Maps) < 9.0.33 - Contributor+ Stored Cross-Site Scripting via Shortcode 这些信息提供了关于漏洞的详细描述、影响范围和相关文章,有助于理解漏洞的性质和影响。