从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 插件名称:Media Library Tools < 1.5.0 2. 漏洞类型:Author+ Stored XSS via SVG 3. 描述:插件未对上传的SVG文件进行清理,允许具有作者及以上角色的用户上传包含XSS负载的恶意SVG文件。 4. 证明概念: - 作为管理员,启用SVG支持。 - 作为作者,上传包含payload的SVG文件。 - 观看SVG并查看XSS。 5. 受影响的插件:media-library-tools,已修复在1.5.0版本中。 6. 参考:CVE-2024-10482 7. 分类: - 类型:XSS - OWASP Top 10:A7: Cross-Site Scripting (XSS) - CWE:CWE-79 - CVSS:5.9(中等) 8. 其他信息: - 原始研究者:Bob Matyas - 提交者:Bob Matyas - 提交者网站:https://www.bobmatyas.com - 提交者Twitter:bobmatyas - 验证:是 - WPVDB ID:46cbd4bb-b6f3-49e8-8d79-8c378c617e7c - 发布时间:2024年10月31日(大约23天前) - 添加时间:2024年10月31日(大约23天前) - 最后更新时间:2024年10月31日(大约23天前) - 其他漏洞列表: - Calculated Fields Form < 1.2.55 - Reflected Cross-Site Scripting - All In One Favicon <= 4.6 - Multiple Stored Authenticated XSS - Gum Elementor Addon < 1.3.3 - Authenticated (Contributor+) Stored Cross-Site Scripting via Post Meta Widget - tagDiv Composer < 4.2 - Admin+ Stored XSS - Chaty < 3.1.3 - Authenticated (Administrator+) Stored Cross-Site Scripting via settings 这些信息提供了关于漏洞的详细描述、影响范围、修复情况以及相关参考和分类等关键细节。