Plugins

分享推荐实用的WordPress插件

WordPress

记录分享WordPress使用经验和技巧

Web前端

分享Web前端设计理念及技术

设计资源

搜刮来的设计资源

Prisna GWT - Google 网站翻译 <= 1.4.11 - 已通过身份验证 (Admin+) PHP 对象注入 (CVE-2024-8514)

2024-09-25 23:38:28 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

Prisna GWT - Google 网站翻译 <= 1.4.11 - 已通过身份验证 (Admin+) PHP 对象注入 (CVE-2024-8514)

CVE编号

CVE-2024-8514

利用情况

暂无

补丁情况

N/A

披露时间

2024-09-25

漏洞描述

Prisna GWT WordPress插件（Google网站翻译插件）存在PHP对象注入漏洞，该漏洞存在于所有版本，包括并低于版本1.4.11。漏洞源于对“prisna_import”参数中的不可信输入进行反序列化。这使得拥有管理员级别访问权限的认证攻击者能够注入PHP对象。在受影响的软件中不存在已知的POP链。如果目标系统上安装了额外的插件或主题存在POP链，攻击者可能会删除任意文件、检索敏感数据或执行代码。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://plugins.trac.wordpress.org/browser/google-website-translator/tags/1.4...
https://plugins.trac.wordpress.org/changeset/3155285/
https://www.wordfence.com/threat-intel/vulnerabilities/id/4183c3f7-7794-45f3-...

攻击路径网络
攻击复杂度低
权限要求高
影响范围已更改
用户交互无
可用性高
保密性高
完整性高

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

CWE-ID	漏洞类型
CWE-502	可信数据的反序列化

- avd.aliyun.com

weinxin

版权声明

本站原创文章转载请注明文章出处及链接，谢谢合作！

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带

ZONE.CI 全球网

安全领域涉猎者-乌云独行地带

Prisna GWT - Google 网站翻译 <= 1.4.11 - 已通过身份验证 (Admin+) PHP 对象注入 (CVE-2024-8514)

Prisna GWT - Google 网站翻译 <= 1.4.11 - 已通过身份验证 (Admin+) PHP 对象注入 (CVE-2024-8514)

The Events Calendar <= 6.6.4 - Unauthenticated SQL Injection (CVE-2024-8275)

The Events Calendar <= 6.6.4 - Unauthenticated SQL Injection (CVE-2024-8275)

SmartSearchWP < 2.4.6 - Unauthenticated OpenAI Key Disclosure (CVE-2024-6845)

SmartSearchWP < 2.4.6 - Unauthenticated OpenAI Key Disclosure (CVE-2024-6845)

ShopLentor – WooCommerce Builder for Elementor & Gutenberg +12 Modules – All in One Solution (fo

ShopLentor – WooCommerce Builder for Elementor & Gutenberg +12 Modules – All in One Solution (fo

adstxt Plugin <= 1.0.0 - Settings Update via CSRF (CVE-2024-7892)

adstxt Plugin <= 1.0.0 - Settings Update via CSRF (CVE-2024-7892)

WP ULike < 4.7.4 - Admin+ Stored XSS (CVE-2024-7878)

WP ULike < 4.7.4 - Admin+ Stored XSS (CVE-2024-7878)

Ninja Forms Contact Form <= 3.8.15 - Reflected Self-Based Cross-Site Scripting via Referer (CVE-2

Ninja Forms Contact Form <= 3.8.15 - Reflected Self-Based Cross-Site Scripting via Referer (CVE-2

myCred – Loyalty Points and Rewards plugin for WordPress and WooCommerce – Give Points, Ranks, Badge

myCred – Loyalty Points and Rewards plugin for WordPress and WooCommerce – Give Points, Ranks, Badge

Revolut Gateway for WooCommerce <= 4.17.3 - Missing Authorization to Unauthenticated Order Status

Revolut Gateway for WooCommerce <= 4.17.3 - Missing Authorization to Unauthenticated Order Status

WCFM – Frontend Manager for WooCommerce along with Bookings Subscription Listings Compatible <= 6

WCFM – Frontend Manager for WooCommerce along with Bookings Subscription Listings Compatible <= 6

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带

安全领域涉猎者-乌云独行地带

ZONE.CI 全球网

评论：0 参与： 0

目录

ZONE.CI 全球网

安全领域涉猎者-乌云独行地带
ZONE.CI 全球网公众号