このウェブページのスクリーンショットから、脆弱性に関する以下の重要な情報を取得できます: 1. プラグイン名:Flaming Forms <= 1.0.1 2. 脆弱性タイプ:未認証の格納型XSS(Unauthenticated Stored XSS) 3. 説明:このプラグインは特定のパラメータに対してクリーンアップやエスケープを行っていないため、未認証ユーザーが管理者に対してクロスサイトスクリプティング攻撃を実行できます。 4. 概念実証(PoC): - 手順1:管理者として連絡フォームを追加する。 - 手順2:未認証ユーザーとして、 をPAYLOADとして任意の連絡フォームフィールドに入力し、送信する。 - 手順3:管理者としてフォーム送信を確認し、XSSが発生することを確認する。 5. 影響を受けるプラグイン:flaming-forms 6. 参考文献: - CVE番号:CVE-2024-7691 7. 分類: - タイプ:XSS - OWASP Top 10:A7: クロスサイトスクリプティング (XSS) - CWE番号:CWE-79 8. その他: - 初期発見者:Bob Matyas - 報告者:Bob Matyas - 報告者ウェブサイト:https://www.bobmatyas.com - 報告者Twitter:bobmatyas - 検証:あり - WPVDB ID:d30a3b95-5d1f-4755-8b61-19946afc51ef - 公開日:2024-08-12 - 追加日:2024-08-13 - 最終更新日:2024-08-13 - 関連脆弱性リスト: - PowerPress Podcasting < 6.0.5 - 認証済みクロスサイトスクリプティング (XSS) - Afterpay Gateway for WooCommerce < 3.2.1 - 反射型クロスサイトスクリプティング - Pagination by BestWebSoft < 1.2.3 - 管理者+ 格納型XSS - AnsPress - Q&A < 4.3.2 - 編集者+ 格納型XSS - Ultimate Blocks < 3.1.7 - 投稿者+ 格納型XSS これらの情報は、脆弱性の詳細な説明、脆弱性を悪用する手順、影響を受けるプラグイン、および関連する脆弱性のリストを提供しています。