关键漏洞信息 描述 漏洞类型: 存储型XSS (Stored Cross-Site Scripting) 受影响插件: Happyforms < 1.26.3 问题描述: 插件未对某些设置进行清理和转义,允许高权限用户(如管理员)执行存储型XSS攻击,即使在禁用 功能时也是如此。 概念验证 (Proof of Concept) 1. 添加新表单。 2. 在“消息”下的表单设置中,将“表单无法提交”的值更改为: 3. 将表单添加到页面或帖子。 4. 当点击表单上的提交按钮时,XSS有效载荷将触发。 影响的插件 Happyforms: 已在1.26.3版本中修复。 参考资料 CVE编号: CVE-2024-10054 分类 类型: XSS OWASP Top 10: A7: 跨站脚本 (XSS) CWE编号: CWE-79 CVSS评分: 3.5 (低) 其他信息 原始研究员: Bob Matyas 提交者: Bob Matyas 提交网站: https://www.bobmatyas.com 提交者Twitter: bobmatyas 验证状态: 是 WPVDB ID: 5a9fd64b-3207-4acb-92ff-1cca08c41ac9 时间线 公开发布日期: 2024-10-16 添加日期: 2024-11-20 最后更新日期: 2024-11-20