从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 插件名称:Element Pack Elementor Addons < 5.10.3 - Contributor+ Stored XSS 2. 描述:插件未验证和转义其Cookie Consent块选项,导致用户在页面/帖子中嵌入该块时,可以执行存储型跨站脚本攻击。 3. 证明概念: - 创建新帖子使用Elementor。 - 添加“Cookie Consent”块并更改“Message”字段为 - 发布页面。 - 当页面加载时,XSS将出现。 4. 受影响的插件: - bdthemes-element-pack-lite(已修复在5.10.3版本中) 5. 参考: - CVE:CVE-2024-10980 - URL:https://research.cleantalk.org/cve-2024-10980/ 6. 分类: - 类型:XSS - OWASP Top 10:A7: Cross-Site Scripting (XSS) - CWE:CWE-79 - CVSS:5.9(中等) 7. 其他: - 原始研究者:Dmitrii Ignatyev - 提交者:Dmitrii Ignatyev - 提交者网站:https://www.linkedin.com/in/dmitriy-ignatyev-8a9189267/ - 验证:是 - WPVDB ID:915daad8-d14c-4457-a3a0-aa21744f4ae0 - 发布时间:2024-11-08 - 添加时间:2024-11-08 - 最后更新时间:2024-11-08 - 其他相关漏洞: - Simple Banner < 2.10.4 - Admin+ Stored XSS - YITH WooCommerce Wishlist < 3.33.0 - Authenticated (Admin+) Stored Cross-Site Scripting - Wise Search Widget 1.1 - s Parameter Reflected XSS - Rescue Shortcodes < 2.6 - Contributor+ Stored XSS - WP Booking < 2.4.5 - Authenticated Stored Cross-Site Scripting