CVE-2024-9511丨FluentSMTP – 带有 Amazon SES、SendGrid、MailGun、Postmark、Google 和任何 SMTP 提供商的 WP SMTP 插件 <= 2.2.82 - 未经身份验证的 PHP 对象注入

2024年11月25日 186点热度 0人点赞 0条评论

FluentSMTP – 带有 Amazon SES、SendGrid、MailGun、Postmark、Google 和任何 SMTP 提供商的 WP SMTP 插件 <= 2.2.82 - 未经身份验证的 PHP 对象注入 (CVE-2024-9511)

CVE编号

CVE-2024-9511

利用情况

暂无

补丁情况

N/A

披露时间

2024-11-23

漏洞描述

FluentSMTP – WP SMTP插件与Amazon SES、SendGrid、MailGun、Postmark、Google和任何SMTP提供商的WordPress插件存在PHP对象注入漏洞。该漏洞存在于所有版本至包括2.2.82版本，原因是“formatResult”函数中不可信输入的反序列化。这使得未经身份验证的攻击者能够注入PHP对象。在受影响的软件中不存在已知的POP链。如果目标系统上安装的其他插件或主题中存在POP链，那么攻击者可能会删除任意文件、检索敏感数据或执行代码。该漏洞在版本2.2.82中已得到部分修复。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://plugins.trac.wordpress.org/browser/fluent-smtp/trunk/app/Models/Logge...
https://plugins.trac.wordpress.org/changeset/3194359/
https://plugins.trac.wordpress.org/changeset/3194555/
https://www.wordfence.com/threat-intel/vulnerabilities/id/a3deedc4-b939-4c54-...

CVE-2024-9511丨FluentSMTP – 带有 Amazon SES、SendGrid、MailGun、Postmark、Google 和任何 SMTP 提供商的 WP SMTP 插件 <= 2.2.82 - 未经身份验证的 PHP 对象注入

FluentSMTP – 带有 Amazon SES、SendGrid、MailGun、Postmark、Google 和任何 SMTP 提供商的 WP SMTP 插件 <= 2.2.82 - 未经身份验证的 PHP 对象注入 (CVE-2024-9511)

漏洞描述

解决建议

参考链接

文章评论