从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 插件名称:Starbox < 3.5.3 2. 漏洞类型:Contributor+ Stored XSS 3. 描述:插件在某些上下文中不正确地渲染社交媒体资料URL,可能导致恶意用户利用Contributor角色进行存储型XSS攻击。 4. 证明概念: - 步骤1:访问你的个人资料。 - 步骤2:将Twitter URL字段更改为JS代码: - 步骤3:刷新页面并检查预览块中的最近帖子。悬停大红色方块。 - 步骤4:使用以下短代码检查XSS: 5. 受影响的插件:starbox 6. 修复情况:已修复在3.5.3版本中。 7. 参考: - CVE - URL 8. 分类: - 类型:XSS - OWASP Top 10:A7: Cross-Site Scripting (XSS) - CWE:CWE-79 - CVSS:6.8 (medium) 9. 其他信息: - 原始研究者:Dmitrii Ignatyev - 提交者:Dmitrii Ignatyev - 提交者网站:https://www.linkedin.com/in/dmitriy-ignatyev-8a9189267/ - 验证:是 - WPVDB ID:02796da0-218d-4cbb-98ca-49eeea83cac5 10. 时间线: - 公开发布日期:2024-09-09(大约21天前) - 添加日期:2024-09-09(大约21天前) - 最后更新日期:2024-09-09(大约21天前) 11. 其他: - 2019-02-05:WP Live Chat Support < 8.0.18 - Cross-Site Scripting (XSS) - 2024-07-01:Post Meta Data Manager < 1.3.0 - Authenticated (Contributor+) Stored Cross-Site Scripting - 2023-01-30:GS Filterable Portfolio < 1.6.1 - Contributor+ Stored XSS - 2024-08-20:Zephyr Project Manager < 3.3.103 - Reflected Cross-Site Scripting - 2024-05-17:Contact Form Plugin by Fluent Forms < 5.1.17 - Contributor+ Stored XSS 这些信息提供了关于漏洞的详细描述、影响范围和修复情况,有助于理解漏洞的严重性和如何利用它。