CVE-2024-10216丨WP 用户管理器 - 用户配置文件生成器和会员资格 <= 2.9.11 - 缺少对 Carbon Fields 自定义侧边栏添加/删除的授权

2024年11月25日 164点热度 0人点赞 0条评论

WP 用户管理器 - 用户配置文件生成器和会员资格 <= 2.9.11 - 缺少对 Carbon Fields 自定义侧边栏添加/删除的授权 (CVE-2024-10216)

CVE编号

CVE-2024-10216

利用情况

暂无

补丁情况

N/A

披露时间

2024-11-23

漏洞描述

WordPress插件WP User Manager（用户资料构建与管理插件）在版本2.9.11及其之前的所有版本中，存在数据未经授权修改的风险。原因是缺少对'add_sidebar'和'remove_sidebar'功能的权限检查。这使得拥有订阅者级别及以上访问权限的认证攻击者能够在安装了Carbon Fields插件的情况下添加或删除Carbon Fields自定义侧边栏。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://plugins.trac.wordpress.org/browser/wp-user-manager/trunk/vendor-dist/...
https://plugins.trac.wordpress.org/browser/wp-user-manager/trunk/vendor-dist/...
https://plugins.trac.wordpress.org/changeset/3194404/wp-user-manager/trunk/in...
https://www.wordfence.com/threat-intel/vulnerabilities/id/3ab4e9c6-68b0-4113-...

CVE-2024-10216丨WP 用户管理器 - 用户配置文件生成器和会员资格 <= 2.9.11 - 缺少对 Carbon Fields 自定义侧边栏添加/删除的授权

WP 用户管理器 - 用户配置文件生成器和会员资格 <= 2.9.11 - 缺少对 Carbon Fields 自定义侧边栏添加/删除的授权 (CVE-2024-10216)

漏洞描述

解决建议

参考链接

文章评论