漏洞标题
N/A
漏洞描述信息
WordPress 的 WP 目录工具插件由于 'ajax_admin' 函数的 capability 检查缺失,在版本1.2.3及其后续版本中存在被未经授权修改数据的风险。这使得具有订阅权限或更高级别的 authenticated attackers 能够删除或更改插件设置,导入演示数据,删除 Directory Kit 相关帖子和术语,并安装任意插件。在版本1.2.0中引入了部分修复补丁。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
漏洞类别
授权机制缺失
漏洞标题
N/A
漏洞描述信息
The WP Directory Kit plugin for WordPress is vulnerable to unauthorized modification of data and loss of data due to a missing capability check on the 'ajax_admin' function in versions up to, and including, 1.2.3. This makes it possible for authenticated attackers with subscriber-level permissions or above to delete or change plugin settings, import demo data, delete Directory Kit related posts and terms, and install arbitrary plugins. A partial patch was introduced in version 1.2.0.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L
漏洞类别
N/A
漏洞标题
WordPress Plugin WP Directory Kit 安全漏洞
漏洞描述信息
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。 WordPress Plugin WP Directory Kit 1.2.3及之前版本存在安全漏洞,该漏洞源于缺少对ajax_admin功能的检查,攻击者可以执行删除或更改插件设置、导入演示数据、删除与目录工具包相关的帖子等操作。
CVSS信息
N/A
漏洞类别
其他