从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 插件名称:Gutenberg Blocks with AI by Kadence WP < 3.2.39 2. 漏洞类型:Contributor+ Stored XSS 3. 描述:插件在输出某些块选项时未进行验证和转义,允许具有贡献者及以上角色的用户执行存储型跨站脚本攻击。 4. 证明概念:通过以下步骤: - 添加一个倒计时块到一个帖子。 - 在块的设置中,滚动到“倒计时布局”。 - 将“天数标签”字段设置为 。 - 保存帖子并预览。 5. 受影响的插件:kadence-blocks 6. 修复情况:已修复在3.2.39版本中。 7. 参考: - CVE - URL 8. 分类: - 类型:XSS - OWASP TOP 10:A7: Cross-Site Scripting (XSS) - CWE:CWE-79 9. 其他信息: - 原始研究者:Dmitrii Ignatyev - 提交者:Dmitrii Ignatyev - 提交者网站:https://www.linkedin.com/in/dmitriy-ignatyev-8a9189267/ - 验证:是 - WPVDB ID:1768de0c-e4ea-4c98-abf1-7ac805f214b8 - 发布时间:2024-07-18 - 添加时间:2024-07-18 - 最后更新时间:2024-07-18 10. 其他漏洞: - Mhr Post Ticker < 1.2 - Authenticated (Admin+) Stored Cross-Site Scripting - Spiffy Calendar < 3.3.0 - Reflected Cross-Site Scripting (XSS) - Click To Tweet <= 2.0.14 - Authenticated (Contributor+) Stored Cross-Site Scripting - ChatBot < 4.4.9 - Subscriber+ OpenAI Settings Update to Stored XSS - Simple Site Verify < 1.0.8 - Admin+ Stored XSS 这些信息提供了关于漏洞的详细描述和解决方案,帮助用户了解和修复该漏洞。