关键漏洞信息 描述 漏洞类型: 存储型跨站脚本(Stored XSS) 受影响插件: Auto Prune Posts < 3.0.0 问题: 插件未对某些设置进行清理和转义,允许高权限用户(如管理员)执行存储型XSS攻击,即使在禁用 功能的情况下(例如在多站点设置中)。 概念验证 (PoC) 1. 访问 2. 在“其他文章类型,逗号分隔”中输入有效载荷 3. 保存并查看XSS警告。 影响的插件 插件名称: auto-prune-posts 修复版本: 3.0.0 参考资料 CVE编号: CVE-2024-10639 分类 类型: XSS OWASP Top 10: A7: 跨站脚本(XSS) CWE编号: CWE-79 CVSS评分: 3.5(低) 其他信息 原始研究员: Bob Matyas 提交者: Bob Matyas 提交者网站: https://www.bobmatyas.com 提交者Twitter: bobmatyas 验证状态: 是 WPVDB ID: efab3a36-535b-40ff-b98f-482a0e5193f1 时间线 公开发布日期: 2024-10-30(约6个月前) 添加日期: 2025-03-03(约2个月前) 最后更新日期: 2025-03-03(约2个月前)