WP-Mobile-BankID-Integration WordPress 数据库反序列化:对象注入的可能性 (CVE-2023-51700)
CVE编号
CVE-2023-51700利用情况
暂无补丁情况
N/A披露时间
2023-12-28漏洞描述
Unofficial Mobile BankID Integration for WordPress允许用户在WordPress网站上使用Mobile BankID进行身份验证。在1.0.1版本之前,WP-Mobile-BankID-Integration受到一个被分类为不受信任数据反序列化漏洞的影响,特别是在攻击者可以操纵数据库的情况下。如果未经授权的对象获得对数据库的访问权限,他们可以利用此漏洞执行对象注入攻击。这可能导致在WordPress环境中未经授权的代码执行、数据篡改或数据泄露。插件的用户应该升级到1.0.1版本(或更高版本),其中将OrderResponse对象的序列化和反序列化更改为存储为JSON的数组。无法立即升级的用户可以实施更严格的数据库访问控制,确保只有受信任和授权的实体可以修改数据。此外,实施监控工具以检测异常数据库活动可以帮助识别和减轻潜在的利用尝试。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://github.com/jamieblomerus/WP-Mobile-BankID-Integration/commit/8251c629... | |
| https://github.com/jamieblomerus/WP-Mobile-BankID-Integration/security/adviso... |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
| CWE-502 | 可信数据的反序列化 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论