一、 漏洞 CVE-2023-2736 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
WordPress中的Groundhogg插件在版本2.7.9.8及以上时容易受到跨站点请求伪造(XSS)攻击。这是因为“ajax_edit_contact”函数中的白名验证缺失。这使得有授权的攻击者可以通过短代码接收自动登录链接,然后将分配给该用户的用户名修改成自动登录链接,通过伪造请求提升验证用户权限。如果攻击者能成功地欺骗网站管理员执行诸如点击链接等操作,那么就可能导致网站被攻击者入侵。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
跨站请求伪造(CSRF)
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The Groundhogg plugin for WordPress is vulnerable to Cross-Site Request Forgery in versions up to, and including, 2.7.9.8. This is due to missing nonce validation in the 'ajax_edit_contact' function. This makes it possible for authenticated attackers to receive the auto login link via shortcode and then modify the assigned user to the auto login link to elevate verified user privileges via a forged request granted they can trick a site administrator into performing an action such as clicking on a link.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
WordPress Plugin Groundhogg 跨站请求伪造漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。 WordPress Plugin Groundhogg 2.7.9.8及之前版本存在安全漏洞,该漏洞源于缺少对ajax_edit_contact函数的随机数验证,攻击者利用该漏洞可以通过短代码接收自动登录链接。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站请求伪造
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-2736 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2023-2736 的情报信息