一、 漏洞 CVE-2024-13495 基础信息
漏洞标题
GamiPress <= 7.2.1版本gamipress_ajax_get_logs函数存在未认证的任意简码执行漏洞
来源:AIGC 神龙大模型
漏洞描述信息
GamiPress – Gamification插件在WordPress中用于奖励积分、成就、徽章和等级,该插件在所有版本中均存在任意短代码执行漏洞,包括7.2.1版本。这是由于软件允许用户在执行do_shortcode之前不对值进行适当验证,从而导致未经过身份验证的攻击者能够执行任意短代码。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
跨界内存写
来源:AIGC 神龙大模型
漏洞标题
GamiPress <= 7.2.1 - Unauthenticated Arbitrary Shortcode Execution via gamipress_ajax_get_logs Function
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The The GamiPress – Gamification plugin to reward points, achievements, badges & ranks in WordPress plugin for WordPress is vulnerable to arbitrary shortcode execution via the gamipress_ajax_get_logs() function in all versions up to, and including, 7.2.1. This is due to the software allowing users to execute an action that does not properly validate a value before running do_shortcode. This makes it possible for unauthenticated attackers to execute arbitrary shortcodes.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
对生成代码的控制不恰当(代码注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
WordPress plugin GamiPress 代码注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。 WordPress plugin GamiPress 7.2.1版本及之前版本存在代码注入漏洞,该漏洞源于gamipress_ajax_get_logs函数包含一个任意代码执行漏洞。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码注入
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-13495 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-13495 的情报信息