从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 插件名称:Ditty < 3.1.47 2. 漏洞类型:Author+ Stored XSS 3. 描述:插件未对某些设置进行清理和转义,允许高权限用户(如作者)执行存储型跨站脚本攻击。 4. 证明概念: - 创建一个新帖子,标题为“123” autofocus onfocus=alert('XSS')//。 - 创建/编辑一个Ditty,添加“WP Posts Feed (Lite)”块并保存。 - XSS将在添加块时触发,以及在用户编辑/访问Ditty(如页面中显示)时触发。 5. 受影响的插件:ditty-news-ticker 6. 修复情况:已修复在3.1.47版本中。 7. 参考: - CVE:CVE-2024-9600 - URL:https://research.cleantalk.org/cve-2024-9600/ 8. 分类: - 类型:XSS - OWASP Top 10:A7: Cross-Site Scripting (XSS) - CWE:CWE-79 - CVSS:6.6 (medium) 9. 其他信息: - 原始研究者:Dmitrii Ignatyev - 提交者:Dmitrii Ignatyev - 提交者网站:https://www.linkedin.com/in/dmitriy-ignatyev-8a9189267/ - 验证:是 - WPVDB ID:d1c78389-29eb-4dce-848c-e0eab85ff5cd 10. 时间线: - 公开发布日期:2024-10-31(大约23天前) - 添加日期:2024-10-31(大约23天前) - 最后更新日期:2024-10-31(大约23天前) 这些信息提供了关于Ditty < 3.1.47插件中Author+ Stored XSS漏洞的详细描述和解决方案。