从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 插件名称:Logo Slider < 4.5.0 2. 漏洞类型:Contributor+ Stored XSS 3. 描述:插件未对Logo和Slider设置进行清理和转义,允许高权限用户(如Contributor)执行存储型跨站脚本攻击。 4. 修复版本: - 4.1.0:创建一个Logo,将“Brand Name”字段更改为“123”并设置为 autofocus onfocus=alert(/XSS//) - 4.5.0:创建一个新的Logo Slider,将“Logo Image Height”或“Logo Image Width”字段设置为“123”并设置为 autofocus onfocus=alert(/XSS//) 5. 受影响的插件:logo-slider-wp 6. CVE编号:CVE-2024-10896 7. URL:https://research.cleantalk.org/cve-2024-10896/ 8. 分类: - 类型:XSS - OWASP Top 10:A7: Cross-Site Scripting (XSS) - CWE:CWE-79 - CVSS评分:5.9(中等) 9. 原始研究者:Dmitrii Ignatyev 10. 提交者:Dmitrii Ignatyev 11. 提交者网站:https://www.linkedin.com/in/dmitriy-ignatyev-8a9189267/ 12. 验证状态:是 13. WPVDB ID:1304c2b6-922d-455e-bae8-d6bf855eddd9 14. 发布时间:2024-11-07 15. 添加时间:2024-11-07 16. 更新时间:2024-11-07 17. 其他: - 2024-11-18:Ashe < 2.244 - Reflected Cross-Site Scripting via add_query_arg Parameter - 2021-06-21:myStickymenu < 2.5.2 - Authenticated Stored XSS - 2021-07-14:Forminator < 1.14.12 - Unauthenticated Stored XSS - 2024-04-15:Real Media Library < 4.11.12 - Authenticated (Author+) Stored Cross-Site Scripting - 2015-09-15:WordPress <= 4.3 - User List Table Cross-Site Scripting (XSS) 这些信息可以帮助用户了解漏洞的详细情况、影响范围以及如何修复。