Gtbabel < 6.6.9 - Unauthenticated Admin Account Takeover 漏洞信息(CVE-2024-11638)

一、漏洞 CVE-2024-11638 基础信息

AIGC 神龙大模型
美国国家漏洞数据库 NVD

漏洞标题

Gtbabel小于6.6.9版本存在未认证的管理员账户接管漏洞

来源：AIGC 神龙大模型

漏洞描述信息

Gtbabel WordPress插件在6.6.9之前的版本无法确保用于代码分析的URL属于该博客，这可能导致未认证的攻击者通过让登录用户（如管理员）打开一个特制的URL来获取其cookie，因为分析URL时发出的请求中包含了这些cookie。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:H

来源：AIGC 神龙大模型

漏洞类别

通过用户控制密钥绕过授权机制

来源：AIGC 神龙大模型

漏洞标题

Gtbabel < 6.6.9 - Unauthenticated Admin Account Takeover

来源：美国国家漏洞数据库 NVD

漏洞描述信息

The Gtbabel WordPress plugin before 6.6.9 does not ensure that the URL to perform code analysis upon belongs to the blog which could allow unauthenticated attackers to retrieve a logged in user (such as admin) cookies by making them open a crafted URL as the request made to analysed the URL contains such cookies.

来源：美国国家漏洞数据库 NVD

CVSS信息

N/A

来源：美国国家漏洞数据库 NVD

漏洞类别

N/A

来源：美国国家漏洞数据库 NVD

二、漏洞 CVE-2024-11638 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2024-11638 的情报信息

标题： Gtbabel < 6.6.9 – Unauthenticated Admin Account Takeover | CVE 2024-11638 | Plugin Vulnerabilities -- 🔗来源链接

标签： exploit vdb-entry technical-description
https://nvd.nist.gov/vuln/detail/CVE-2024-11638

一、 漏洞 CVE-2024-11638 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2024-11638 的公开POC

三、漏洞 CVE-2024-11638 的情报信息

一、漏洞 CVE-2024-11638 基础信息