关键信息 描述 漏洞类型: 存储型XSS(通过SVG文件) 影响版本: SVG Uploads Support <= 2.1.1 问题: 插件未对上传的SVG文件进行清理,允许具有Author及以上角色的用户上传包含XSS有效载荷的恶意SVG文件。 概念验证 (PoC) 操作步骤: 直接访问上传的文件以查看XSS效果。 影响插件 插件名称: svg-uploads-support 修复状态: 尚无已知修复方案 参考资料 CVE编号: CVE-2023-7086 分类 类型: XSS OWASP Top 10: A7: Cross-Site Scripting (XSS) CWE编号: CWE-79 CVSS评分: 4.8 (中等) 其他信息 研究人员: Bob Matyas 提交者网站: https://www.bobmatyas.com 提交者Twitter: bobmatyas 验证状态: 已验证 WPVDB ID: 94954e1a-dc09-4811-b57d-b12bf69a767d 时间线 公开发布日期: 2024-01-23 添加日期: 2024-01-23 最后更新日期: 2024-01-23