Formidable Forms < 6.14.1 存储型XSS漏洞 (CVE-2024-9768)

从这个网页截图中，可以获取到以下关于漏洞的关键信息： 1. 插件名称：Formidable Forms < 6.14.1 - Admin+ Stored XSS 2. 描述：插件未对某些设置进行清理和转义，允许具有高权限的用户（如管理员）在未过滤的HTML能力被禁止时执行存储型跨站脚本攻击。 3. 证明概念： - 步骤1：导航到Formidable插件部分。 - 步骤2：选择Forms（Lite）部分。 - 步骤3：在My Forms标签中，点击Add new。 - 步骤4：选择一个表单，点击“Create a blank form”。 - 步骤5：在选定的表单中，指定“Name”字段。 - 步骤6：在指定的表单中，将“CSS Layout Classes”参数设置为payload onmouseover='alert(1) http://host.com/wp-admin/admin-ajax.php?action=frm_forms_preview&form={name_forms}`。 4. 受影响的插件：formidable 5. 修复版本：6.14.1 6. 参考链接： - CVE：CVE-2024-9768 - URL：https://research.cleantalk.org/CVE-2024-9768/ 7. 分类： - 类型：XSS - OWASP Top 10：A7: Cross-Site Scripting (XSS) - CWE：CWE-79 - CVSS：3.5 (low) 8. 其他信息： - 原始研究者：Krugov Artyom - 提交者：Krugov Artyom - 提交者网站：https://research.cleantalk.org - 验证：是 - WPVDB ID：3c4ff11b-4a06-433d-8f0e-4069865721c0 - 发布时间：2024-10-31 - 添加时间：2024-10-31 - 最后更新时间：2024-10-31 9. 其他漏洞： - WP Flipclock < 1.8 - Contributor+ Stored XSS - Base64 Encoder/Decoder <= 0.9.2 - Reflected XSS - Ultimate Appointment Booking & Scheduling < 1.1.10 - Authenticated Cross-Site Scripting (XSS) - PowerPack Addons for Elementor (Free Widgets, Extensions and Templates) < 2.7.15 - Authenticated (Contributor+) Stored Cross-Site Scripting - BSK PDF Manager < 2.9.1 - Authenticated Stored Cross-Site Scripting (XSS)

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

Formidable Forms < 6.14.1 存储型XSS漏洞 (CVE-2024-9768)

同源更多文章

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

Formidable Forms < 6.14.1 存储型XSS漏洞 (CVE-2024-9768)

同源更多文章

目标达成感谢每一位支持者 — 我们达成了 100% 目标！