CVE-2024-10606丨WP Travel Engine <= 6.2.1 - 缺少对经过身份验证 (Contributor+) 插件设置更新的授权

2024年11月25日 142点热度 0人点赞 0条评论

WP Travel Engine <= 6.2.1 - 缺少对经过身份验证 (Contributor+) 插件设置更新的授权 (CVE-2024-10606)

CVE编号

CVE-2024-10606

利用情况

暂无

补丁情况

N/A

披露时间

2024-11-23

漏洞描述

WordPress的WP Travel Engine旅游预订插件和旅游运营商软件插件存在数据未经授权修改的风险。该问题出现在所有直至并包括6.2.1版本的wpte_onboard_save_function_callback()函数中缺少权限检查。这使得拥有贡献者级别及以上访问权限的认证攻击者能够修改一些设置，可能造成收入损失和页面更新等不良影响。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://plugins.trac.wordpress.org/changeset/3193913/wp-travel-engine/tags/6....
https://www.wordfence.com/threat-intel/vulnerabilities/id/c91d1ec0-0430-4ddd-...

CVE-2024-10606丨WP Travel Engine <= 6.2.1 - 缺少对经过身份验证 (Contributor+) 插件设置更新的授权

WP Travel Engine <= 6.2.1 - 缺少对经过身份验证 (Contributor+) 插件设置更新的授权 (CVE-2024-10606)

漏洞描述

解决建议

参考链接

文章评论