漏洞标题
N/A
漏洞描述信息
在2020年3月09日之前,WordPress上的ThemeREX插件缺乏对/trx_addons/v2/get/sc_layout REST API端点访问控制,这导致任何用户都可以执行PHP函数,因为include/plugin.rest-api.php调用trx_addons_rest_get_sc_layout,而该函数使用不安全的sc参数。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The ThemeREX Addons plugin before 2020-03-09 for WordPress lacks access control on the /trx_addons/v2/get/sc_layout REST API endpoint, allowing for PHP functions to be executed by any users, because includes/plugin.rest-api.php calls trx_addons_rest_get_sc_layout with an unsafe sc parameter.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
WordPress ThemeREX Addons 代码注入漏洞
漏洞描述信息
WordPress是WordPress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。ThemeREX Addons是使用在其中的一个网站主题插件。 WordPress ThemeREX Addons 2020-03-09之前版本中存在安全漏洞,该漏洞源于/trx_addons/v2/get/sc_layout REST API端点缺少访问控制。攻击者可利用该漏洞执行PHP函数。
CVSS信息
N/A
漏洞类别
代码注入