Relevanssi <= 4.22.2 - 未经身份验证的信息泄露 (CVE-2024-7630)

admin

0
文章

0
评论

2024-08-17 13:37:16 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

Relevanssi <= 4.22.2 - 未经身份验证的信息泄露 (CVE-2024-7630)

CVE编号

CVE-2024-7630

利用情况

暂无

补丁情况

N/A

披露时间

2024-08-16

漏洞描述

Relevanssi WordPress插件（一个更好的搜索插件）在直至并包括4.22.2版本中存在信息泄露漏洞。该漏洞位于relevanssi_do_query()函数中，由于搜索返回的文章限制不足，使得未经身份验证的攻击者有可能从受密码保护的文章中提取潜在敏感信息。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://plugins.trac.wordpress.org/changeset/3134753/relevanssi/trunk/lib/common.php
https://www.wordfence.com/threat-intel/vulnerabilities/id/3fa78f4e-ede2-4863-...

攻击路径网络
攻击复杂度低
权限要求无
影响范围未更改
用户交互无
可用性无
保密性低
完整性无

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

CWE-ID	漏洞类型

- avd.aliyun.com

本站原创文章转载请注明文章出处及链接，谢谢合作！

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带

ZONE.CI 全球网

安全领域涉猎者-乌云独行地带

ZONE.CI 全球网

Plugins

WordPress

Web前端

设计资源

Relevanssi <= 4.22.2 - 未经身份验证的信息泄露 (CVE-2024-7630)

Relevanssi <= 4.22.2 - 未经身份验证的信息泄露 (CVE-2024-7630)

漏洞描述

解决建议

参考链接

主题我的登录 <= 7.1.7 - 跨站请求伪造到设置更新 (CVE-2024-7422)

Relevanssi <= 4.22.2 - 未经身份验证的信息泄露 (CVE-2024-7630)

由 Tradedoubler <= 2.0.21 开发 - 未经认证的 LFI (CVE-2024-6460)

WordPress 文件上传 <= 4.24.8 - 通过 SVG 文件上传进行未经身份验证的存储跨站点脚本 (CVE-2024-7301)

从仪表板 <= 1.8.7 下载插件和主题 - 跨站点请求伪造 (CVE-2024-7501)

爱立信 RAN 计算和站点控制器 6610 - 不当输入验证漏洞 (CVE-2024-25008)

JetSearch <= 3.5.2 — 经过身份验证 (Contributor+) 存储的跨站点脚本 (CVE-2024-7136)

JetTabs <= 2.2.3 — 经过身份验证 (Contributor+) 任意本地文件包含 (CVE-2024-7146)

Please refer to relevant websites for more information, and feel free to ask me any other questions.

JetBlocks <= 1.3.12 — 经过身份验证 (Contributor+) 存储的跨站点脚本 (CVE-2024-7147)

ZONE.CI 全球网

Plugins

WordPress

Web前端

设计资源

Relevanssi <= 4.22.2 - 未经身份验证的信息泄露 (CVE-2024-7630)

漏洞描述

解决建议

参考链接

Exp相关链接

ZONE.CI 全球网