Golo - Directory & Listing, Travel WordPress Theme <= 1.6.10 - Missing Authorization to Privilege Escalation via Unauthenticated Arbitrary User Password Change 漏洞信息(CVE-2024-12876)

一、漏洞 CVE-2024-12876 基础信息

AIGC 神龙大模型
美国国家漏洞数据库 NVD

漏洞标题

Golo - Directory & Listing, Travel WordPress Theme <= 1.6.10 - 由于未认证的任意用户密码更改导致缺乏授权和权限提升漏洞

来源：AIGC 神龙大模型

漏洞描述信息

WordPress插件Golo - City Travel Guide WordPress Theme在所有版本中（包括1.6.10版本）存在权限提升漏洞，该漏洞源于插件在更新用户密码时未正确验证用户身份。这使得未认证的攻击者能够更改任意用户的密码（包括管理员），并利用该漏洞获取用户账户的访问权限。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

来源：AIGC 神龙大模型

漏洞类别

认证机制不恰当

来源：AIGC 神龙大模型

漏洞标题

Golo - Directory & Listing, Travel WordPress Theme <= 1.6.10 - Missing Authorization to Privilege Escalation via Unauthenticated Arbitrary User Password Change

来源：美国国家漏洞数据库 NVD

漏洞描述信息

The Golo - City Travel Guide WordPress Theme theme for WordPress is vulnerable to privilege escalation via account takeover in all versions up to, and including, 1.6.10. This is due to the plugin not properly validating a user's identity prior to updating their password. This makes it possible for unauthenticated attackers to change arbitrary user's passwords, including administrators, and leverage that to gain access to their account.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

来源：美国国家漏洞数据库 NVD

漏洞类别

授权机制缺失

来源：美国国家漏洞数据库 NVD

二、漏洞 CVE-2024-12876 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2024-12876 的情报信息

标题： Golo - Directory & Listing, Travel WordPress Theme <= 1.6.10 - Missing Authorization to Privilege Escalation via Unauthenticated Arbitrary User Password Change -- 🔗来源链接

标签：
标题： Golo - Directory & Listing, Travel WordPress Theme by uxper | ThemeForest -- 🔗来源链接

标签：
https://nvd.nist.gov/vuln/detail/CVE-2024-12876

一、 漏洞 CVE-2024-12876 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2024-12876 的公开POC

三、漏洞 CVE-2024-12876 的情报信息

一、漏洞 CVE-2024-12876 基础信息