漏洞标题
N/A
漏洞描述信息
在WordPress 1.22.16 之前版本的Team Showcase插件中,由于通过AJAX从远程托管的构造Payload中不安全地解包数据,允许远程授权攻击者 inject 任意的PHP对象。此操作必须设置为team_import_xml_layouts。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
PHP Object injection vulnerabilities in the Team Showcase plugin before 1.22.16 for WordPress allow remote authenticated attackers to inject arbitrary PHP objects due to insecure unserialization of data supplied in a remotely hosted crafted payload in the source parameter via AJAX. The action must be set to team_import_xml_layouts.
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
WordPress 代码问题漏洞
漏洞描述信息
WordPress是WordPress(Wordpress)基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。 Team Showcase plugin before 1.22.16 for WordPress 存在安全漏洞,该漏洞允许远程身份验证的攻击者可利用该漏洞注入任意PHP对象,这是因为通过AJAX在源参数中提供的远程托管有效载荷中的数据不安全的反序列化。该操作必须设置为team import xml布局。
CVSS信息
N/A
漏洞类别
代码问题