分类列表 - 分类广告和商业目录插件 <= 3.1.15.1 - 经过身份验证 (Subscriber+) 有限任意选项更新 (CVE-2024-11194)
CVE编号
CVE-2024-11194
利用情况
暂无
补丁情况
N/A
披露时间
2024-11-19
漏洞描述
WordPress的“分类列表-分类广告与商业目录插件”插件存在漏洞,可能导致未经授权的数据修改并引发权限升级问题。该漏洞出现在对'rtcl_import_settings'函数的配置检查中,存在于所有版本,包括3.1.15.1版本。这使得拥有订阅者级别及以上权限的认证攻击者能够更新WordPress网站上的有限任意选项。可以利用此漏洞更新订阅者的管理员级权限,从而获得对易受攻击站点的管理用户访问权限。该漏洞的局限性在于,更新的选项值必须是一个数组。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
文章评论