一、 漏洞 CVE-2024-1158 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
提交表单-注册表单-用户资料的个人资料表单-用户提交内容(用户生成内容,UGC)的WordPress 插件存在未经授权修改数据的风险。所有版本中,直到并包括2.8.7版本,buddyforms_new_page函数中缺少权限检查。这使得已认证的攻击者,具有订阅访问或更高权限,能够创建页面,标题随意设定。这些页面会被发布。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
来源:AIGC 神龙大模型
漏洞类别
授权机制缺失
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The Post Form – Registration Form – Profile Form for User Profiles – Frontend Content Forms for User Submissions (UGC) plugin for WordPress is vulnerable to unauthorized modification of data due to a missing capability check on the buddyforms_new_page function in all versions up to, and including, 2.8.7. This makes it possible for authenticated attackers, with subscriber access or higher, to create pages with arbitrary titles. These pages are published.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
WordPress Plugin Post Form 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。 WordPress Plugin Post Form 2.8.7 版本及之前版本存在安全漏洞,该漏洞源于缺少对 buddyforms_new_page 函数的功能检查,因此容易受到未经授权的数据修改。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-1158 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-1158 的情报信息