关键漏洞信息 描述 漏洞类型: XSS (跨站脚本攻击) 受影响插件: WordPress Clicksold IDX Plugin <= 1.90 问题: 插件未对某些设置进行清理和转义,允许高权限用户(如管理员)执行存储型XSS攻击,即使在禁用 功能的情况下(例如在多站点设置中)。 概念验证 (PoC) 1. 访问 2. 在“Plugin Number”输入框中输入payload: 3. 保存设置并重新加载页面以查看XSS效果。 影响的插件 插件名称: clicksold-wordpress-plugin 修复情况: 尚无已知修复方案 参考资料 CVE编号: CVE-2024-7769 分类 OWASP Top 10: A7: Cross-Site Scripting (XSS) CWE编号: CWE-79 CVSS评分: 3.5 (低) 其他信息 原始研究员: Amandeep Singh Banga 提交者: Amandeep Singh Banga 验证状态: 已验证 WPVDB ID: 198252c2-834b-401b-98a5-2f59910d67bc 时间线 公开发布日期: 2024-07-09 添加日期: 2024-09-24 最后更新日期: 2024-09-24