Bookster <= 1.1.0 - 未经身份验证的预约状态更新 (CVE-2024-5071)

admin

0
文章

0
评论

2024-06-30 23:14:38 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

Bookster <= 1.1.0 - 未经身份验证的预约状态更新 (CVE-2024-5071)

CVE编号

CVE-2024-5071

利用情况

暂无

补丁情况

N/A

披露时间

2024-06-26

漏洞描述

The Bookster WordPress plugin through 1.1.0 allows adding sensitive parameters when validating appointments allowing attackers to manipulate the data sent when booking an appointment (the request body) to change its status from pending to approved.

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://wpscan.com/vulnerability/07b293cf-5174-45de-8606-a782a96a35b3/

攻击路径 N/A
攻击复杂度 N/A
权限要求 N/A
影响范围 N/A
用户交互 N/A
可用性 N/A
保密性 N/A
完整性 N/A

N/A

CWE-ID	漏洞类型

- avd.aliyun.com

本站原创文章转载请注明文章出处及链接，谢谢合作！

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带

ZONE.CI 全球网

安全领域涉猎者-乌云独行地带

ZONE.CI 全球网

Plugins

WordPress

Web前端

设计资源

Bookster <= 1.1.0 - 未经身份验证的预约状态更新 (CVE-2024-5071)

Bookster <= 1.1.0 - 未经身份验证的预约状态更新 (CVE-2024-5071)

漏洞描述

解决建议

参考链接

前端检查表 <= 2.3.2 - 通过项目进行 Admin+ 存储型 XSS (CVE-2024-4959)

Bookster <= 1.1.0 - 未经身份验证的预约状态更新 (CVE-2024-5071)

Spotify 播放按钮 <= 1.0 - Contributor+ 存储型 XSS (CVE-2024-5199)

视频小部件 <= 1.2.3 - 通过小部件的 Admin+ 存储型 XSS (CVE-2024-5169)

Elementor <= 2.6.9.8 的专属附加组件 - 通过卡片小部件进行经过身份验证的 (Contibutor+) 存储跨站点脚本 (CVE-2024-5332)

Simple Photoswipe <= 0.1 - Admin+ 存储型 XSS (CVE-2024-5473)

简易目录 < 2.0.66 - Admin+ 存储型 XSS (CVE-2024-5573)

HT Mega – Elementor <= 2.5.5 的 Absolute Addons - 通过多个小部件进行经过身份验证的 (Contributor+) 存储跨站点脚本 (CVE-202

自动化用户机密写入审计日志（CVE-2024-28830）

WordPress BlossomThemes 电子邮件通讯插件 <= 2.2.6 - 服务器端请求伪造 (SSRF) 漏洞 (CVE-2024-37098)

ZONE.CI 全球网

Plugins

WordPress

Web前端

设计资源

Bookster <= 1.1.0 - 未经身份验证的预约状态更新 (CVE-2024-5071)

漏洞描述

解决建议

参考链接

Exp相关链接

ZONE.CI 全球网