漏洞标题
N/A
漏洞描述信息
WordPress上的TeraWallet插件在1.4.3版本及以上版本中存在不安全的直接对象引用漏洞。这可能是由于在lock_unlock_terawallet AJAX行动中对用户控制键的验证不足。这使得具有订阅权限及以上的认证攻击者能够锁定/解锁其他用户的钱包。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The TeraWallet plugin for WordPress is vulnerable to Insecure Direct Object Reference in versions up to, and including, 1.4.3. This is due to insufficient validation of the user-controlled key on the lock_unlock_terawallet AJAX action. This makes it possible for authenticated attackers, with subscriber-level permissions and above, to lock/unlock other users wallets.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
漏洞类别
N/A
漏洞标题
WordPress plugin TeraWallet 安全漏洞
漏洞描述信息
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。 WordPress plugin TeraWallet 存在安全漏洞,该漏洞源于对 lock_unlock_terawallet AJAX 操作中用户控制的密钥的验证不足,导致不安全直接对象引用。
CVSS信息
N/A
漏洞类别
其他