漏洞标题
WordPress <= 4.2.3 批量帖子编辑 - 认证(订阅者+)缺少授权
漏洞描述信息
WordPress插件“Bulk Posts Editing For WordPress”在所有版本直至且包括4.2.3版本中,AJAX动作缺少功能检查,因此存在未经授权访问功能的风险。这使得具有订阅者访问权限及更高权限的已认证攻击者能够调用相应的功能。这可能导致内容的创建和复制、内容检索、类别和标签的编辑等操作。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
漏洞类别
授权机制缺失
漏洞标题
Bulk Posts Editing For WordPress <= 4.2.3 - Authenticated (Subscriber+) Missing Authorization
漏洞描述信息
The Bulk Posts Editing For WordPress plugin for WordPress is vulnerable to unauthorized access of functionality due to a missing capability check on the plugin's AJAX actions in all versions up to, and including, 4.2.3. This makes it possible for authenticated attackers, with subscriber access and higher, to invoke their corresponding functions. This may lead to post creation and duplication, post content retrieval, post taxonomy manipulation.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
漏洞类别
N/A
漏洞标题
WordPress plugin Bulk Posts Editing 安全漏洞
漏洞描述信息
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。 WordPress plugin Bulk Posts Editing 4.2.3 版本及之前版本存在安全漏洞,该漏洞源于缺少对插件 AJAX 操作的功能检查,因此容易受到未经授权的功能访问。
CVSS信息
N/A
漏洞类别
其他