关键漏洞信息 描述 描述:插件没有正确处理某些设置,允许具有高权限的用户执行存储型跨站脚本(XSS)攻击,即使在禁用 功能的情况下(如在多站点设置中)。 漏洞利用方法 1. 在Ko-fi按钮插件设置中,将“Button Text”字段更改为 2. 将 标签添加到网页之一 3. 查看该网页并看到XSS效果 影响的插件 Ko-fi Button:在版本1.3.3中修复 参考资料 CVE:CVE-2023-2254 分类 类型:XSS OWASP Top 10:A7: Cross-Site Scripting (XSS) CWE:CWE-79 CVSS:3.5(低风险) 杂项信息 原始研究者:Felipe Restrepo Rodriguez 提交者:Felipe Restrepo Rodriguez 提交者网站:https://pfelilpe.com 提交者Twitter:pfelilpe 验证:是 WPVDB ID:8886ec5f-8465-448f-adbd-68a3e84c5dec 时间线 公开发布:2023-04-25(约2年前) 添加:2023-04-25(约2年前) 最后更新:2023-04-25(约2年前) 其他 Advanced Image Sitemap <= 1.2 - 反射型跨站脚本攻击 WordPress-to-candidate for Salesforce CRM <= 1.0.1 - 反射型跨站脚本攻击 VForm < 3.1.15 - 认证(管理员+)存储型跨站脚本攻击 JSFiddle Shortcode < 1.1.3 - 贡献者+ 通过短代码的XSS SimaCookie <= 1.3.2 - 认证(贡献者+)存储型跨站脚本攻击