CVE-2024-10530丨Kognetiks Chatbot for WordPress <= 2.1.7 - 缺少对经过身份验证的（订阅者+）助手附加的授权

2024年11月14日 138点热度 0人点赞 0条评论

CVE编号

CVE-2024-10530

利用情况

暂无

补丁情况

N/A

披露时间

2024-11-13

WordPress的Kognetiks Chatbot插件存在数据未经授权修改的风险，原因是add_new_assistant()函数中缺少权限检查功能，所有版本直至并包括2.1.7都存在此漏洞。这使得拥有订阅者级别访问权限及以上的认证攻击者能够创建新的GTP助理。

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://plugins.trac.wordpress.org/browser/chatbot-chatgpt/trunk/includes/uti...
https://plugins.trac.wordpress.org/changeset/3183413/chatbot-chatgpt/trunk/in...
https://www.wordfence.com/threat-intel/vulnerabilities/id/a4fd7e76-4d8b-4e4d-...