HUSKY – WooCommerce 专业产品过滤器 <= 1.3.6.1 - 取消订阅的不安全直接对象引用 (CVE-2024-7491)
CVE编号
CVE-2024-7491利用情况
暂无补丁情况
N/A披露时间
2024-09-25漏洞描述
HUSKY的WooCommerce插件WordPress产品过滤器专业版存在不安全的直接对象引用漏洞,该漏洞存在于所有版本,包括最高版本1.3.6.1。漏洞源于woof_messenger_remove_subscr AJAX动作中的'key'用户控制键缺少验证。这使得拥有订阅者级别权限及以上的已认证攻击者能够成功获取或暴力破解已注册接收通知的用户的关键值,从而取消这些用户对产品通知的订阅。此漏洞需要启用该插件的产品消息扩展功能。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&... | |
| https://www.wordfence.com/threat-intel/vulnerabilities/id/daf6b0d5-79a6-4b8f-... |
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 未更改
- 用户交互 无
- 可用性 无
- 保密性 无
- 完整性 低
| CWE-ID | 漏洞类型 |
| CWE-862 | 授权机制缺失 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论