WPDash Notes <= 1.3.5 - 缺少对经过身份验证的授权(订阅者+)敏感信息泄露(CVE-2024-9223)
CVE编号
CVE-2024-9223
利用情况
暂无
补丁情况
N/A
披露时间
2024-11-23
漏洞描述
WordPress中的WPDash Notes插件存在数据未经授权访问的漏洞,该漏洞存在于所有版本至包括1.3.5版本在内的版本中,原因是缺少对'wp_ajax_post_it_list_comment'函数的权限检查。这使得具有订阅者级别访问权限及以上的认证攻击者能够查看任何帖子的评论,包括私有和受密码保护的帖子以及之前发布的待审核和草稿帖子的评论。该漏洞在版本1.3.5中得到了部分修复。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
文章评论