CVE-2024-10717丨Ninja Forms Styler <= 3.3.4 — 通过 deactivate_license 进行经过身份验证的（Subscriber+）任意选项删除

2024年11月14日 146点热度 0人点赞 0条评论

Ninja Forms Styler <= 3.3.4 — 通过 deactivate_license 进行经过身份验证的（Subscriber+）任意选项删除（CVE-2024-10717）

CVE编号

CVE-2024-10717

利用情况

暂无

补丁情况

N/A

披露时间

2024-11-13

漏洞描述

WordPress中的Ninja Forms插件的Styler插件存在漏洞，可能导致未经授权的数据修改，进而由于deactivate_license函数中缺少权限检查而导致拒绝服务。该漏洞存在于所有直至并包括3.3.4的版本中。这使得具有订阅者级别及以上访问权限的认证攻击者能够删除WordPress网站上的任意选项值。这可以用来删除会导致网站出现错误的选项，从而拒绝服务合法用户。注意：此问题也可用于添加任意空值选项。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://plugins.trac.wordpress.org/browser/styler-for-ninja-forms-lite/tags/3...
https://www.wordfence.com/threat-intel/vulnerabilities/id/a26da53c-4be0-4c9f-...

CVE-2024-10717丨Ninja Forms Styler <= 3.3.4 — 通过 deactivate_license 进行经过身份验证的（Subscriber+）任意选项删除

Ninja Forms Styler <= 3.3.4 — 通过 deactivate_license 进行经过身份验证的（Subscriber+）任意选项删除（CVE-2024-10717）

漏洞描述

解决建议

参考链接

文章评论