Sensei LMS < 4.24.2 - 未经身份验证的电子邮件模板泄露 (CVE-2024-7786)

admin

0
文章

0
评论

2024-09-09 03:27:49 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

Sensei LMS < 4.24.2 - 未经身份验证的电子邮件模板泄露 (CVE-2024-7786)

CVE编号

CVE-2024-7786

利用情况

暂无

补丁情况

N/A

披露时间

2024-09-04

漏洞描述

The Sensei LMS WordPress plugin before 4.24.2 does not properly protect some its REST API routes, allowing unauthenticated attackers to leak email templates.

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://wpscan.com/vulnerability/f44e6f8f-3ef2-45c9-ae9c-9403305a548a/

攻击路径网络
攻击复杂度低
权限要求无
影响范围未更改
用户交互无
可用性无
保密性高
完整性无

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

CWE-ID	漏洞类型

- avd.aliyun.com

本站原创文章转载请注明文章出处及链接，谢谢合作！

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带

ZONE.CI 全球网

安全领域涉猎者-乌云独行地带

ZONE.CI 全球网

Plugins

WordPress

Web前端

设计资源

Sensei LMS < 4.24.2 - 未经身份验证的电子邮件模板泄露 (CVE-2024-7786)

Sensei LMS < 4.24.2 - 未经身份验证的电子邮件模板泄露 (CVE-2024-7786)

漏洞描述

解决建议

参考链接

Sensei LMS < 4.24.2 - 未经身份验证的电子邮件模板泄露 (CVE-2024-7786)

Gutenberg 页面构建器块和现成模式库 <= 3.2.4 - 经过身份验证 (Contributor+) 存储的跨站点脚本 (CVE-2024-8325)

终极 WordPress 工具包 – WP Extended <= 3.0.8 - 经过身份验证 (Subscriber+) 任意选项更新 (CVE-2024-8102)

终极 WordPress 工具包 – WP Extended <= 3.0.8 - 目录遍历至经过身份验证的 (Subscriber+) 任意文件下载 (CVE-2024-8104)

终极 WordPress 工具包 – WP Extended <= 3.0.8 - 经过身份验证 (Subscriber+) 敏感信息暴露 (CVE-2024-8106)

终极 WordPress 工具包 – WP Extended <= 3.0.8 – 通过 selected_option 反射跨站点脚本 (CVE-2024-8117)

终极 WordPress 工具包 – WP Extended <= 3.0.8 – 通过页面反射跨站点脚本 (CVE-2024-8119)

终极 WordPress 工具包 – WP Extended <= 3.0.8 - 缺少管理员用户名更改授权 (CVE-2024-8121)

终极 WordPress 工具包 – WP Extended <= 3.0.8 - 不安全的直接对象引用 (CVE-2024-8123)

Loop with Unreachable Exit Condition ('Infinite Loop') (CVE-2024-45506)

ZONE.CI 全球网

Plugins

WordPress

Web前端

设计资源

Sensei LMS < 4.24.2 - 未经身份验证的电子邮件模板泄露 (CVE-2024-7786)

漏洞描述

解决建议

参考链接

Exp相关链接

ZONE.CI 全球网