图像优化器、调整器和 CDN - Sirv <= 7.2.7 - 已通过身份验证 (Subscriber+) 缺少插件设置更新授权 (CVE-2024-6392)

admin

0
文章

0
评论

2024-07-15 16:42:25 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

图像优化器、调整器和 CDN - Sirv <= 7.2.7 - 已通过身份验证 (Subscriber+) 缺少插件设置更新授权 (CVE-2024-6392)

CVE编号

CVE-2024-6392

利用情况

暂无

补丁情况

N/A

披露时间

2024-07-12

漏洞描述

WordPress中的图片优化器、调整大小和CDN - Sirv插件在所有的版本（包括7.2.7）中都存在未经授权的插件设置修改漏洞，原因是插件功能缺少必要的权限检查。这使得拥有订阅者级别及以上访问权限的认证攻击者能够更改关联的Sirv账户为攻击者控制的账户。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://plugins.trac.wordpress.org/browser/sirv/tags/7.2.6/sirv.php
https://plugins.trac.wordpress.org/browser/sirv/tags/7.2.6/sirv.php
https://www.wordfence.com/threat-intel/vulnerabilities/id/229490c3-d820-4831-...

攻击路径网络
攻击复杂度低
权限要求低
影响范围未更改
用户交互无
可用性无
保密性低
完整性低

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

CWE-ID	漏洞类型

- avd.aliyun.com

本站原创文章转载请注明文章出处及链接，谢谢合作！

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带

ZONE.CI 全球网

安全领域涉猎者-乌云独行地带

ZONE.CI 全球网

Plugins

WordPress

Web前端

设计资源

图像优化器、调整器和 CDN - Sirv <= 7.2.7 - 已通过身份验证 (Subscriber+) 缺少插件设置更新授权 (CVE-2024-6392)

图像优化器、调整器和 CDN - Sirv <= 7.2.7 - 已通过身份验证 (Subscriber+) 缺少插件设置更新授权 (CVE-2024-6392)

漏洞描述

解决建议

参考链接

图像优化器、调整器和 CDN - Sirv <= 7.2.7 - 已通过身份验证 (Subscriber+) 缺少插件设置更新授权 (CVE-2024-6392)

aimhubio/aim 中的任意文件覆盖和数据泄露（CVE-2024-6396）

事件帖子 <= 5.9.5 - 跨站请求伪造 (CVE-2024-1375)

N/A

社交媒体小部件 < 4.0.9 - Admin+ 存储型 XSS (CVE-2024-0974)

HID：核心：删除 implement() 中不必要的 WARN_ON() (CVE-2024-39509)

cachefiles：修复 cachefiles_ondemand_daemon_read() 中的 slab-use-after-free 问题（CVE-2024-39510）

cachefiles：修复 cachefiles_ondemand_get_fd() 中的 slab-use-after-free 问题（CVE-2024-40899）

cachefiles：在刷新请求期间从 xarray 中删除请求（CVE-2024-40900）

scsi：mpt3sas：避免在未分配的内存中操作 test/set_bit()（CVE-2024-40901）

ZONE.CI 全球网

Plugins

WordPress

Web前端

设计资源

图像优化器、调整器和 CDN - Sirv <= 7.2.7 - 已通过身份验证 (Subscriber+) 缺少插件设置更新授权 (CVE-2024-6392)

漏洞描述

解决建议

参考链接

Exp相关链接

ZONE.CI 全球网