一、 漏洞 CVE-2024-11087 基础信息
漏洞标题
miniOrange Social Login and Register (Discord, Google, Twitter, LinkedIn) Pro Addon <= 200.3.9 认证绕过漏洞
来源:AIGC 神龙大模型
漏洞描述信息
WordPress插件miniOrange Social Login and Register (Discord, Google, Twitter, LinkedIn) Pro Addon在所有版本(包括)200.3.9中存在认证绕过漏洞。这是由于对社交登录令牌返回的用户验证不足。这使得未认证的攻击者能够在站点上以任何现有用户(如管理员)的身份登录,前提是攻击者能够访问用户名,并且该用户在返回令牌的服务上没有已存在的账户。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
认证机制不恰当
来源:AIGC 神龙大模型
漏洞标题
miniOrange Social Login and Register (Discord, Google, Twitter, LinkedIn) Pro Addon <= 200.3.9 - Authentication Bypass
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The miniOrange Social Login and Register (Discord, Google, Twitter, LinkedIn) Pro Addon plugin for WordPress is vulnerable to authentication bypass in all versions up to, and including, 200.3.9. This is due to insufficient verification on the user being returned by the social login token. This makes it possible for unauthenticated attackers to log in as any existing user on the site, such as an administrator, if they have access to the username and the user does not have an already-existing account for the service returning the token.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
认证机制不恰当
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2024-11087 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2024-11087 的情报信息
-
标题: miniOrange Social Login and Register (Discord, Google, Twitter, LinkedIn) Pro Addon <= 200.3.9 - Authentication Bypass -- 🔗来源链接
标签:
-
标题: miniOrange Secure It Right : Identity and Access Management Solution -- 🔗来源链接
标签:
- https://nvd.nist.gov/vuln/detail/CVE-2024-11087