关键漏洞信息 描述 漏洞类型: Stored XSS (存储型跨站脚本攻击) 受影响插件: jwp-a11y <= 4.1.7 问题描述: 插件未对某些设置进行清理和转义,允许高权限用户(如管理员)执行存储型XSS攻击,即使在禁用 功能的情况下(例如在多站点设置中)。 概念验证 (Proof of Concept) 1. 导航到Ally Center并进入jwp-a11y设置。 2. 在Opinion Tab中输入payload: 并更新设置。 3. 在Ally Center的页面选项中点击URL,执行payload,确认XSS漏洞。 影响的插件 插件名称: jwp-a11y 已知修复: 无 参考资料 CVE编号: CVE-2024-11190 分类 类型: XSS OWASP Top 10: A7: Cross-Site Scripting (XSS) CWE编号: CWE-79 CVSS评分: 3.5 (低) 其他信息 原始研究员: Taufique Noorani 提交者: Taufique Noorani 验证状态: 已验证 WPVDB ID: 66b914ba-4253-4849-a38a-05ab246a9a32 时间线 公开发布日期: 2024-11-12 添加日期: 2024-12-10 最后更新日期: 2024-12-10