Event Espresso 4 Decaf – 活动注册活动票务 <= 5.0.22.decaf – 已通过身份验证 (Subscriber+) 缺少对有限插件设置修改的授权 (CVE-2024-6883)
CVE编号
CVE-2024-6883利用情况
暂无补丁情况
N/A披露时间
2024-08-21漏洞描述
Event Espresso 4 Decaf的WordPress事件注册和活动票务插件存在未经授权的插件设置修改漏洞。该漏洞是由于在saveTimezoneString和其他一些功能中缺少权限检查造成的,影响所有版本至多至包括5.0.22版本。这使得经过身份验证的攻击者有机会以订阅者级别及以上的访问权限修改部分插件设置。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://plugins.trac.wordpress.org/browser/event-espresso-decaf/tags/4.10.46.... | |
| https://www.wordfence.com/threat-intel/vulnerabilities/id/689abb68-0c19-4f89-... |
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 低
- 影响范围 未更改
- 用户交互 无
- 可用性 无
- 保密性 无
- 完整性 低
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论