关键漏洞信息 描述 漏洞类型: Admin+ Stored XSS 受影响插件: Podlove Podcast Publisher < 4.1.24 问题: 插件未对某些设置进行清理和转义,允许高权限用户(如管理员)执行存储型跨站脚本攻击,即使在禁用 功能时也是如此。 概念验证 (PoC) 1. 进入Podlove插件标签页。 2. 选择“Episode Assets”标签。 3. 添加新的“Episode Assets”。 4. 在标题列中输入XSS载荷: 5. 保存并查看XSS效果。 影响的插件 插件名称: podlove-podcasting-plugin-for-wordpress 修复版本: 4.1.24 参考资料 CVE编号: CVE-2024-13729 URL: https://research.cleantalk.org/CVE-2024-XXXX/ 分类 类型: XSS OWASP Top 10: A7: Cross-Site Scripting (XSS) CWE编号: CWE-79 CVSS评分: 3.5 (低) 其他信息 原始研究员: Krugov Artjom 提交者: Krugov Aryom 提交网站: https://research.cleantalk.org/ 验证状态: Yes WPVDB ID: 2feed26b-ef02-4954-ab9d-8b0f958b0ef1 时间线 公开发布日期: 2024-11-28 添加日期: 2025-03-03 最后更新日期: 2025-03-03