关键信息 漏洞描述 漏洞名称: Z-Downloads < 1.11.7 - Admin+ Stored XSS via SVG Upload 描述: 插件未正确验证上传文件,允许上传包含恶意JavaScript的SVG文件。 影响插件 插件: z-downloads 修复版本: 1.11.7 参考信息 CVE编号: CVE-2024-8673 分类 类型: XSS OWASP Top 10: A7: Cross-Site Scripting (XSS) CWE编号: CWE-79 CVSS评分: 3.5 (低) 其他信息 原始研究员: Bob Matyas 提交者: Bob Matyas 提交者网站: https://www.bobmatyas.com 提交者Twitter: bobmatyas 验证状态: Yes WPVDB ID: fed2cd26-7ccb-419d-b589-978410953bf4 时间线 公开发布日期: 2024-08-06 添加日期: 2024-09-24 最后更新日期: 2024-09-24 其他相关漏洞 2014-08-01: Backend Localization 1.6.1 - options-general.php kau_boys_backend_localization_language Parameter XSS 2015-04-20: Lattice < 11.4 - Unspecified XSS 2014-08-01: coupon-code-plugin <= 2.1 - XSS in ZeroClipboard 2022-01-10: GTranslate < 2.9.7 - Reflected Cross-Site Scripting 2025-01-16: First Comment Redirect <= 1.0.3 - Reflected Cross-Site Scripting