一、 漏洞 CVE-2024-5987 基础信息
漏洞标题
WP Accessibility Helper <= 0.6.2.8 - 缺少授权的认证(订阅者+)有限设置更新
来源:AIGC 神龙大模型
漏洞描述信息
WordPress插件WP Accessibility Helper (WAH)存在未经授权修改数据的安全漏洞,原因是在所有版本直到并包括0.6.2.8中,'save_contrast_variations' 和 'save_empty_contrast_variations' 函数缺少权限检查。这意味着具有订阅者级别及以上权限的已认证攻击者可以编辑或删除对比度设置。请注意,这些问题已在0.6.2.8中被修补,但功能被破坏,供应商对此后跟进未予回应。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
来源:AIGC 神龙大模型
漏洞类别
授权机制缺失
来源:AIGC 神龙大模型
漏洞标题
WP Accessibility Helper <= 0.6.2.8 - Missing Authorization to Authenticated (Subscriber+) Limited Settings Update
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The WP Accessibility Helper (WAH) plugin for WordPress is vulnerable to unauthorized modification of data due to a missing capability check on the 'save_contrast_variations' and 'save_empty_contrast_variations' functions in all versions up to, and including, 0.6.2.8. This makes it possible for authenticated attackers, with Subscriber-level access and above, to edit or delete contrast settings. Please note these issues were patched in 0.6.2.8, though it broke functionality and the vendor has not responded to our follow-ups.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
授权机制缺失
来源:美国国家漏洞数据库 NVD
漏洞标题
WordPress plugin WP Accessibility Helper 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。 WordPress plugin WP Accessibility Helper 0.6.2.8 版本及之前版本存在安全漏洞,该漏洞源于缺少对 save_contrast_variations 和 save_empty_contrast_variations
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-5987 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2024-5987 的情报信息
-
标题: WP Accessibility Helper <= 0.6.2.8 - Missing Authorization to Authenticated (Subscriber+) Limited Settings Update -- 🔗来源链接
标签:
神龙速读
-
- https://nvd.nist.gov/vuln/detail/CVE-2024-5987