从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 插件名称:Search Filter Pro < 2.5.18 2. 漏洞类型:Admin+ Stored XSS 3. 描述:插件未对某些设置进行清理和转义,允许高权限用户(如管理员)在未过滤的HTML能力被禁用时执行存储型跨站脚本攻击。 4. 证明概念: - 步骤1:作为管理员,创建一个新的搜索表单。 - 步骤2:在“可用字段”部分,选择“发布日期”并将其拖到“搜索表单UI”部分。 - 步骤3:在“日期字段”部分,将payload 添加到“From Prefix”和“To Prefix”字段。 - 步骤4:保存。 - 步骤5:转到搜索管理员页面。 - 步骤6:在“To Prefix”和“From Prefix”字段上悬停,可以看到XSS。 5. 受影响的插件:search-filter-pro 6. 修复版本:2.5.18 7. 参考链接: - CVE:链接 - URL:链接 8. 分类: - 类型:XSS - OWASP Top 10:A7: Cross-Site Scripting (XSS) - CWE:CWE-79 9. 其他信息: - 原始研究者:Felipe Caon - 提交者:caon - 提交者网站:链接 - 验证:是 - WPVDB ID:53357868-2bcb-48eb-8abd-83186ff8d027 10. 时间线: - 公开发布日期:2024-07-18(大约23天前) - 添加日期:2024-07-18(大约23天前) - 最后更新日期:2024-07-18(大约23天前) 这些信息提供了关于漏洞的详细描述、证明概念、受影响的插件、修复版本、参考链接、分类、原始研究者、提交者、验证状态、WPVDB ID、时间线等关键信息。