从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 插件名称:YaDisk Files <= 1.2.5 2. 漏洞类型:Contributor+ Stored XSS via Shortcode 3. 描述:插件在输出包含短代码的页面/帖子时,未验证和转义某些短代码属性,允许具有贡献者及以上角色的用户执行存储型跨站脚本攻击。 4. 证明概念:提供了一个示例代码片段,演示如何在页面/帖子中插入短代码以触发XSS攻击。 5. 受影响的插件:wp-yadisk-files 6. CVE编号:CVE-2024-10709 7. 分类: - 类型:XSS - OWASP Top 10:A7: Cross-Site Scripting (XSS) - CWE:CWE-79 - CVSS评分:6.8(中等) 8. 原始研究者:Bob Matyas 9. 提交者:Bob Matyas 10. 提交者网站:https://www.bobmatyas.com 11. 提交者Twitter:bobmatyas 12. 验证状态:已验证 13. WPVDB ID:114aeaf7-32a5-4510-a497-92cc0951b022 14. 发布时间:2024-11-04 15. 添加时间:2024-11-04 16. 最后更新时间:2024-11-04 17. 其他: - 其他相关漏洞列表: - Gestion-Pymes <= 1.5.6 - Admin+ Stored XSS - Ultimate Addons for Visual Composer < 3.16.12 - Authenticated XSS, CSRF, RCE - Photo Gallery < 1.5.75 - Stored Cross-Site Scripting via Uploaded SVG - Database for Contact Form 7 < 3.0.7 - Authenticated (Contributor+) Stored Cross-Site Scripting - reSmush.it Image Optimizer < 0.4.6 - Admin+ Cross-Site Scripting 这些信息可以帮助了解漏洞的详细情况、影响范围以及如何利用漏洞进行攻击。