CVE-2024-10861丨弹出框 - 创建倒计时、优惠券、视频、联系表单弹出窗口 <= 4.9.7 - 缺少对未经身份验证的有限选项更新的授权

弹出框 - 创建倒计时、优惠券、视频、联系表单弹出窗口 <= 4.9.7 - 缺少对未经身份验证的有限选项更新的授权 (CVE-2024-10861) CVE编号 CVE-2024-10861 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-16 漏洞描述 WordPress中的Popup Box插件（用于创建倒计时、优惠券、视频、联系表单弹出窗口）存在数据未经授权修改的风险。该风险源于deactivate_plugin_option()函数中缺少权限检查，此问题存在于所有版本，包括4.9.7版本。这使得未经身份验证的攻击者有可能更新'ays_pb_upgrade_plugin'选项的任意数据。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接 https://plugins.trac.wordpress.org/browser/ays-popup-box/tags/4.9.2/admin/cla... https://plugins.trac.wordpress.org/changeset/3188357/ays-popup-box/tags/4.9.8... https://www.wordfence.com/threat-intel/vulnerabilities/id/c3717e03-9a18-48a1-...