このウェブページスクリーンショットから、脆弱性に関する以下の重要情報を取得できます: 1. プラグイン名:Chatbot Support AI <= 1.0.2 2. プラグインバージョン:<= 1.0.2 3. 脆弱性の種類:Admin+ 保存型XSS(Stored XSS) 4. 説明:プラグインは一部の設定値のサニタイズおよびエスケープを行わないため、権限の高いユーザー(管理者など)が、フィルタリングされたHTML機能が無効化されている状況でも、保存型跨サイトスクリプティング(XSS)を実行できます。 5. PoC(概念実証): - へ移動 - 'Starting Message' の値をXSSペイロード に変更 - 変更を保存 - チャットボットを含むページにアクセスし、ペイロードが実行されることを確認 6. 影響を受けるプラグイン:chatbot-support-ai 7. 参照: - CVE - OWASP Top 10 - CWE 8. その他: - 初期研究者:Kieran Burge - 報告者:Kieran Burge - 報告者ウェブサイト:https://prisminfosec.com/ - 検証済み:Yes - WPVDB ID:ce909d3c-2ef2-4167-87c4-75b5effb2a4d - 公開日:2024-08-13 - 追加日:2024-08-06 - 最終更新日:2024-08-06 - 関連脆弱性一覧: - Restaurant Menu < 2.3.6 - Contributor+ 保存型XSS(ショートコード経由) - Quiz And Survey Master < 8.1.14 - 認証済み(Contributor+)保存型跨サイトスクリプティング - Yoast SEO: Local < 15.0 - Contributor+ 保存型XSS - Flatsome - Comment Attachment 1.0 - XSS これらの情報により、ユーザーは該当プラグインの脆弱性情報、攻撃手法、および影響を受けるプラグインのバージョンなどの重要事項を理解することができます。