漏洞标题
WordPress GiveWP插件 <= 3.14.1 - 未认证的PHP对象注入漏洞
漏洞描述信息
此段内容描述了一个名为“Liquid Web GiveWP 不受信任数据序列化漏洞”的安全问题,该漏洞允许发生对象注入。此问题影响的是 GiveWP:从 n/a 通过 3.14.1 的版本。
请注意:
- "Deserialization of Untrusted Data" 指的是在不信任的数据上进行序列化操作,通常意味着在从非可信来源接收数据后,程序未能正确验证或解码数据,导致安全问题。
- "Object Injection" 是一种攻击技术,攻击者通过在目标系统中注入恶意对象来获取未授权访问权限,导致系统行为不当或数据泄露。
- "This issue affects GiveWP: from n/a through 3.14.1" 表示此漏洞影响的范围是从 GiveWP 的推出(用 "n/a" 表示,意为无明确发布日期或版本)到 3.14.1 版本的所有版本。这提示使用给定版本的用户可能存在安全风险。
简而言之,这段内容提醒所有使用 GiveWP 从 n/a 版本到 3.14.1 版本的用户,存在一个可能允许攻击者通过对象注入进行安全攻击的漏洞。建议更新到最新版本或采取其他安全措施以防止此类攻击。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
可信数据的反序列化
漏洞标题
WordPress GiveWP plugin <= 3.14.1 - Unauthenticated PHP Object Injection vulnerability
漏洞描述信息
Deserialization of Untrusted Data vulnerability in Liquid Web GiveWP allows Object Injection.This issue affects GiveWP: from n/a through 3.14.1.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
漏洞类别
可信数据的反序列化
漏洞标题
WordPress plugin GiveWP 代码问题漏洞
漏洞描述信息
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。 WordPress plugin GiveWP 3.14.1 版本及之前版本存在代码问题漏洞,该漏洞源于包含一个不受信任的数据反序列化漏洞。
CVSS信息
N/A
漏洞类别
代码问题