一、 漏洞 CVE-2024-12825 基础信息
漏洞标题
Custom Related Posts <= 1.7.3 - 对认证用户授权检查不足漏洞
来源:AIGC 神龙大模型
漏洞描述信息
针对WordPress的Custom Related Posts插件在所有版本(包括1.7.3版本)中,由于在三个AJAX操作中缺少能力检查,存在未授权访问及数据修改漏洞。这使得具有订阅者级别及以上访问权限的认证攻击者可以搜索文章并链接/取消链接关系。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
来源:AIGC 神龙大模型
漏洞类别
授权机制缺失
来源:AIGC 神龙大模型
漏洞标题
Custom Related Posts <= 1.7.3 - Missing Authorization to Authenticated (Subscriber+) Private Post Search and Relation Updates
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The Custom Related Posts plugin for WordPress is vulnerable to unauthorized access & modification of data due to a missing capability check on three AJAX actions in all versions up to, and including, 1.7.3. This makes it possible for authenticated attackers, with Subscriber-level access and above, to search posts and link/unlink relations.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
授权机制缺失
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2024-12825 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2024-12825 的情报信息
-
标题: Custom Related Posts <= 1.7.3 - Missing Authorization to Authenticated (Subscriber+) Private Post Search and Relation Updates -- 🔗来源链接
标签:
-
标题: Changeset 3226283 for custom-related-posts – WordPress Plugin Repository -- 🔗来源链接
标签:
- https://nvd.nist.gov/vuln/detail/CVE-2024-12825