关键漏洞信息 描述 漏洞类型: 存储型XSS (Stored Cross-Site Scripting) 受影响插件: Page Builder: Pagelayer < 1.9.0 问题描述: 插件未对某些设置进行清理和转义,允许高权限用户(如管理员)执行存储型XSS攻击,即使在禁用 功能的情况下(例如在多站点设置中)。 概念验证 (Proof of Concept) 1. 访问 2. 选择“Container”选项卡并更改容器值。 3. 截获请求并将参数 的值更改为 4. 发送请求并观察页面加载时XSS被存储和执行。 影响插件 插件名称: pagelayer 修复版本: 1.9.0 参考资料 CVE编号: CVE-2024-8618 分类 类型: XSS OWASP Top 10: A7: 跨站脚本 (XSS) CWE编号: CWE-79 CVSS评分: 3.5 (低) 其他信息 原始研究员: Bob Matyas 提交者: Bob Matyas 提交网站: https://www.bobmatyas.com 提交者Twitter: bobmatyas 验证状态: 已验证 WPVDB ID: acdddc33-0a18-499e-b42d-c8b49f2c4de5 时间线 公开发布日期: 2024-09-04 添加日期: 2024-10-02 最后更新日期: 2024-10-02