从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 插件名称:NextGEN Gallery < 3.59.5 2. 漏洞类型:Admin+ Stored XSS 3. 描述:插件未对某些图像设置进行清理和转义,允许具有高权限的用户(如管理员)在未过滤的HTML能力被禁止的情况下执行存储型跨站脚本攻击。 4. 证明概念:在插件中添加或编辑图像,将以下payload放入“Description”字段并保存更改: 。当点击图像时,XSS将被触发。 5. 受影响的插件:nextgen-gallery 6. 修复情况:已修复在3.59.5版本中。 7. 参考链接: - CVE:CVE-2024-6393 - URL:https://research.cleantalk.org/cve-2024-6393/ 8. 分类: - 类型:XSS - OWASP Top 10:A7: Cross-Site Scripting (XSS) - CWE:CWE-79 - CVSS:3.5 (low) 9. 其他信息: - 原始研究者:Dmitrii Ignatyev - 提交者:Dmitrii Ignatyev - 提交者网站:https://www.linkedin.com/in/dmitriy-ignatyev-8a9189267/ - 验证:是 - WPVDB ID:126d1dd7-d332-47c8-ad25-5fbe211313b0 - 发布时间:2024-11-04 - 添加时间:2024-11-04 - 最后更新时间:2024-11-04 10. 其他漏洞列表: - ShrimpTest 1.0b2 - plugins/variant-shortcode.php Unspecified XSS - ArtiBot Free Chat Bot for WordPress WebSites <= 1.1.6 - Authenticated (Admin+) Cross-Site Scripting - WP Booking Calendar < 10.6.5 - Admin+ Stored XSS - SP Project & Document Manager < 4.62 - Reflected Cross-Site Scripting - Booking.com Banner Creator < 1.4.3 - Admin+ Stored Cross-Site Scripting 这些信息可以帮助用户了解漏洞的详细情况、影响范围以及如何修复。