SmartSearchWP <= 2.4.4 - 未经身份验证的日志清除 (CVE-2024-6846)

admin

0
文章

0
评论

2024-09-09 03:16:16 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

SmartSearchWP <= 2.4.4 - 未经身份验证的日志清除 (CVE-2024-6846)

CVE编号

CVE-2024-6846

利用情况

暂无

补丁情况

N/A

披露时间

2024-09-05

漏洞描述

在ChatGPT WordPress插件的Chatbot版本低于2.4.5之前，某些REST路由没有验证访问权限，这使得未经身份验证的用户可以清除错误和聊天日志。

解决建议

"将组件 Chatbot with ChatGPT WordPress 升级至 2.4.5 及以上版本"

参考链接
https://wpscan.com/vulnerability/d48fdab3-669c-4870-a2f9-6c39a7c25fd8/

攻击路径网络
攻击复杂度低
权限要求无
影响范围未更改
用户交互无
可用性无
保密性无
完整性低

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

CWE-ID	漏洞类型

- avd.aliyun.com

本站原创文章转载请注明文章出处及链接，谢谢合作！

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带

ZONE.CI 全球网

安全领域涉猎者-乌云独行地带

ZONE.CI 全球网

Plugins

WordPress

Web前端

设计资源

SmartSearchWP <= 2.4.4 - 未经身份验证的日志清除 (CVE-2024-6846)

SmartSearchWP <= 2.4.4 - 未经身份验证的日志清除 (CVE-2024-6846)

漏洞描述

解决建议

参考链接

SmartSearchWP <= 2.4.4 - 未经身份验证的日志清除 (CVE-2024-6846)

Ivory Search – WordPress 搜索插件 <= 5.5.6 - 通过 AJAX 搜索表单泄露信息 (CVE-2024-6835)

ZDI-CAN-24186：Adobe Acrobat Reader DC Doc 对象释放后使用信息泄露漏洞 (CVE-2024-45107)

Form Vibes - 适用于 1.4.12 及以下版本的表单数据库管理器 - 多个功能缺少授权 (CVE-2024-5309)

分享此图像 <= 2.02 - 通过 STI 按钮短代码 (CVE-2024-8363) 进行身份验证 (Contributor+) 存储跨站点脚本

预约和活动日历 - Amelia Premium <= 7.7 和 Lite <= 1.2.3 - 缺少敏感信息泄露授权 (CVE-2024-6332)

RD Station <= 5.3.2 — 经过身份验证 (Contributor+) 存储的跨站点脚本 (CVE-2024-6894)

动态特色图像 <= 3.7.0 - 通过 dfiFeatured 参数进行身份验证 (Contributor+) 存储跨站点脚本 (CVE-2024-6929)

出租车票价计算器 <= 1.1.6 - 已验证 (Admin+) 存储的跨站点脚本 (CVE-2022-3556)

Semtek Informatics Software的Semtek Sempos中的未认证SQLi漏洞(CVE-2024-7078)

ZONE.CI 全球网

Plugins

WordPress

Web前端

设计资源

SmartSearchWP <= 2.4.4 - 未经身份验证的日志清除 (CVE-2024-6846)

漏洞描述

解决建议

参考链接

Exp相关链接

ZONE.CI 全球网