CVE-2024-10728丨PostX <= 4.1.16 — 缺少对任意插件安装/激活的授权

2024年11月18日 150点热度 0人点赞 0条评论

PostX <= 4.1.16 — 缺少对任意插件安装/激活的授权（CVE-2024-10728）

CVE编号

CVE-2024-10728

利用情况

暂无

补丁情况

N/A

披露时间

2024-11-16

漏洞描述

WordPress中的Post Grid Gutenberg Blocks和WordPress Blog插件PostX存在漏洞，允许未经授权的插件安装/激活。该漏洞是由于在版本4.1.16及之前所有版本中，'install_required_plugin_callback'函数缺少权限检查。这使得拥有订阅者级别及以上访问权限的认证攻击者可以安装和激活任意插件。如果安装了另一个存在漏洞的插件，则可以利用此漏洞实现远程代码执行。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://plugins.trac.wordpress.org/browser/ultimate-post/tags/4.1.16/classes/...
https://plugins.trac.wordpress.org/browser/ultimate-post/tags/4.1.16/classes/...
https://plugins.trac.wordpress.org/changeset/3188636/ultimate-post/trunk/clas...
https://wordpress.org/plugins/ultimate-post/
https://www.wordfence.com/threat-intel/vulnerabilities/id/076f36fb-c2fb-43e0-...

CVE-2024-10728丨PostX <= 4.1.16 — 缺少对任意插件安装/激活的授权

PostX <= 4.1.16 — 缺少对任意插件安装/激活的授权（CVE-2024-10728）

漏洞描述

解决建议

参考链接

文章评论