RSS 聚合器 – RSS 导入、新闻提要、发布提要和自动博客 <= 4.23.12 - 缺少授权 (CVE-2024-9583)
CVE编号
CVE-2024-9583利用情况
暂无补丁情况
N/A披露时间
2024-10-23漏洞描述
WordPress的RSS聚合器插件(包括RSS导入、新闻摘要、帖子摘要和自动博客功能)存在安全风险。该风险是由于在版本4.23.12及之前的版本中,wprss_ajax_send_premium_support函数缺少权限检查,导致未经授权的用户可能使用该功能发送高级支持请求。攻击者可以通过控制主题行和电子邮件地址来模仿网站所有者身份。此外,还可能泄露许可证信息。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
| CWE-862 | 授权机制缺失 |
Exp相关链接
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论