漏洞标题
N/A
漏洞描述信息
WordPress的Build App Online插件在包括3.0.5在内的所有版本中存在身份验证绕过漏洞。这是由于'eb_user_email_verification_key'的默认值为空,并且在'eb_user_email_verify'函数中缺少对非空值的检查。这使得未经过身份验证的攻击者如果知道用户ID,就可以在网站上冒充任何现有用户,包括管理员,登录。只有当“电子邮件验证”设置启用时,此漏洞才可被利用。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
认证机制不恰当
漏洞标题
N/A
漏洞描述信息
The Build App Online plugin for WordPress is vulnerable to authentication bypass in versions up to, and including, 3.0.5. This is due to the 'eb_user_email_verification_key' default value is empty, and the not empty check is missing in the 'eb_user_email_verify' function. This makes it possible for unauthenticated attackers to log in as any existing user on the site, such as an administrator, if they have access to the user id. This can only be exploited if the 'Email Verification' setting is enabled.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
WordPress plugin Build App Online 安全漏洞
漏洞描述信息
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。 WordPress plugin Build App Online 3.0.5 版本及之前版本存在安全漏洞,该漏洞源于容易受到身份验证绕过。
CVSS信息
N/A
漏洞类别
其他