从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 插件名称:MM-Breaking News <= 0.7.9 2. 漏洞类型:CSRF(Cross-Site Request Forgery) 3. 描述:插件在某些地方没有CSRF检查,且缺少验证和转义,允许攻击者通过CSRF攻击在管理员登录时添加存储型XSSpayload。 4. 证明概念:提供了一个示例HTML文件,展示了如何通过CSRF攻击添加存储型XSSpayload。 5. 受影响的插件:mm-breaking-news 6. CVE编号:CVE-2024-8054 7. 分类: - OWASP Top 10:A2: Broken Authentication and Session Management - CWE编号:CWE-352 8. 原始研究者:Daniel Ruf 9. 提交者:Daniel Ruf 10. 提交者网站:https://magos-securitas.com/ 11. 验证状态:已验证 12. WPVDB ID:f27deffc-9555-44bf-8dee-1891c210ecfd 13. 公开发布日期:2024-08-22 14. 添加日期:2024-08-22 15. 最后更新日期:2024-08-22 16. 其他相关漏洞: - WP Prayer < 1.6.7 - Arbitrary Plugin Settings Update via CSRF - Maspik - Spam blacklist < 0.7.9 - Cross-Site Request Forgery (CSRF) - WP Dynamic Keywords Injector < 2.3.16 - Settings Update via CSRF - WP All Export (Free < 1.4.1, Pro < 1.8.6) - Remote Code Execution via CSRF - DW Question & Answer Pro < 1.3.7 - Multiple CSRF 这些信息可以帮助了解漏洞的性质、影响范围以及如何利用漏洞进行攻击。