关键漏洞信息 描述 漏洞类型: Author+ Stored XSS 受影响插件: tarteaucitron.js for WordPress < 0.3.0 描述: 该插件允许作者级别及以上的用户在帖子/页面中添加HTML,这可能使具有贡献者角色及以上的用户执行存储型跨站脚本攻击。 概念验证 (PoC) 1. 在插件设置中启用Iframe服务。 2. 作为作者,添加以下HTML负载: 3. 点击“允许”按钮查看XSS效果。 影响的插件 插件名称: tarteaucitron-wp 修复版本: 0.3.0 参考资料 CVE编号: CVE-2024-11718 相关URLs: - https://github.com/ccitron/tarteaucitron-wp/src/master/dist/tarteaucitronjs/ - https://huntr.com/bounties/a0fd0671-f051-4d41-8928-9b19819084c9 - https://packagist.org/packages/couleurcitron/tarteaucitron-wp 分类 类型: XSS OWASP Top 10: A7: Cross-Site Scripting (XSS) CWE编号: CWE-79 CVSS评分: 6.8 (中等) 其他信息 原始研究员: Pierre Rudloff 提交者: Pierre Rudloff 验证状态: 已验证 WPVDB ID: 02da3a49-20e4-4476-a78d-4c627994a90a 时间线 公开发布日期: 2024-10-27 添加日期: 2025-03-03 最后更新日期: 2025-03-03