一、 漏洞 CVE-2024-12296 基础信息
漏洞标题
Apus Framework 2.3及以下版本存在Authenticated (Subscriber+) Arbitrary Options Update漏洞
来源:AIGC 神龙大模型
漏洞描述信息
WordPress用的Apus Framework插件存在漏洞,由于在所有版本(包括2.3版本)的'import_page_options'函数中缺少能力检查,导致未经授权的数据修改,进而可能引发权限提升。这使得具有订阅者级别及以上访问权限的认证攻击者能够更新WordPress站点上的任意选项。攻击者可以利用这一点将注册用户的默认角色设置为管理员,并启用用户注册,从而获取对易受攻击站点的管理员访问权限。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
授权机制缺失
来源:AIGC 神龙大模型
漏洞标题
Apus Framework <= 2.3 - Authenticated (Subscriber+) Arbitrary Options Update in import_page_options
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The Apus Framework plugin for WordPress is vulnerable to unauthorized modification of data that can lead to privilege escalation due to a missing capability check on the 'import_page_options' function in all versions up to, and including, 2.3. This makes it possible for authenticated attackers, with Subscriber-level access and above, to update arbitrary options on the WordPress site. This can be leveraged to update the default role for registration to administrator and enable user registration for attackers to gain administrative user access to a vulnerable site.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
授权机制缺失
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2024-12296 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2024-12296 的情报信息
-
标题: Apus Framework <= 2.3 - Authenticated (Subscriber+) Arbitrary Options Update in import_page_options -- 🔗来源链接
标签:
-
标题: Superio – Job Board WordPress Theme by ApusTheme | ThemeForest -- 🔗来源链接
标签:
- https://nvd.nist.gov/vuln/detail/CVE-2024-12296