从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 插件名称:Jobs for WordPress < 2.7.8 - Contributor+ Stored XSS 2. 描述:插件未对某些Job设置进行清理和转义,允许具有高权限的用户(如贡献者)执行存储型跨站脚本攻击。 3. 证明概念: - 登录为具有贡献者权限的用户。 - 转到Job面板并点击添加新职位。 - 在面板中,需要在职位标题字段中输入文本。 - 添加XSSpayload 到“工作时间”字段,然后保存。 - 当预览页面时,payload将触发。 4. 受影响的插件:job-postings 5. 修复状态:已修复在2.7.8版本中。 6. 参考:CVE-2024-10104 7. 分类: - 类型:XSS - OWASP Top 10:A7: Cross-Site Scripting (XSS) - CWE:CWE-79 - CVSS:5.9(中等) 8. 其他信息: - 原始研究者:Krugov Artyom - 提交者:Krugov Artyom - 提交者网站:https://research.cleantalk.org - 验证:是 - WPVDB ID:f0a9c8ae-f2cf-4322-8216-4778b0e37a48 - 发布时间:2024-10-25(大约22天前) - 添加时间:2024-10-25(大约22天前) - 最后更新时间:2024-10-25(大约22天前) 9. 其他漏洞: - Dynamic Widgets < 1.6 - Reflected Cross-Site Scripting - Ivory Search < 4.7 - Reflected Cross-Site Scripting - WP Reroute Email < 1.5.0 - Unauthenticated Stored Cross-Site Scripting - Custom Field For WP Job Manager < 1.2 - Admin+ Stored XSS - Pricing Table by Supsystic < 1.9.5 - Reflected Cross-Site Scripting 这些信息提供了关于漏洞的详细描述、影响范围、修复状态以及相关参考和验证信息。