WP 用户管理器 - 用户配置文件生成器和会员资格 <= 2.9.11 - 缺少对经过身份验证的(订阅者+)用户元密钥枚举的授权(CVE-2024-10537)
CVE编号
CVE-2024-10537
利用情况
暂无
补丁情况
N/A
披露时间
2024-11-23
漏洞描述
WordPress插件WP User Manager的用户资料构建和会员功能存在漏洞,可能导致未经授权的访问数据。该漏洞出现在validate_user_meta_key()函数中缺少权限检查,影响所有版本至包括2.9.11。这使得拥有订阅者级别及以上权限的认证攻击者能够枚举用户元数据键。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
文章评论