WP-Orphanage Extended <= 1.2 - 跨站请求伪造导致 Orphan 账户权限提升 (CVE-2024-11415)
CVE编号
CVE-2024-11415
利用情况
暂无
补丁情况
N/A
披露时间
2024-11-23
漏洞描述
WordPress的WP-Orphanage Extended插件存在跨站请求伪造漏洞,该漏洞存在于所有版本,包括版本1.2。这是由于在wporphanageex_menu_settings()函数中缺少或存在错误的nonce验证。这使得未经验证的攻击者有可能通过伪造请求提升所有孤儿账户的权限,只要他们能够诱骗网站管理员执行诸如点击链接等操作即可。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
文章评论