一、 漏洞 CVE-2024-7424 基础信息
漏洞标题
Multiple Page Generator Plugin存在权限绕过漏洞
来源:AIGC 神龙大模型
漏洞描述信息
WordPress插件Multiple Page Generator(MPG)在所有版本(包括4.0.1版本)中存在权限检查不足的漏洞。由于多个函数缺少能力验证,导致经过身份验证的攻击者(具有订阅者级别或以上访问权限)能够调用仅适用于管理员使用的函数。这使得订阅者能够上传CSV文件并查看MPG项目的相关内容。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
来源:AIGC 神龙大模型
漏洞类别
授权机制缺失
来源:AIGC 神龙大模型
漏洞标题
Multiple Page Generator Plugin – MPG <= 4.0.1 - Missing Authorization
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The Multiple Page Generator Plugin – MPG plugin for WordPress is vulnerable to unauthorized modification of and access to data due to a missing capability check on several functions in all versions up to, and including, 4.0.1. This makes it possible for authenticated attackers, with Subscriber-level access and above, to invoke those functions intended for admin use resulting in subscribers being able to upload csv files and view the contents of MPG projects.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
访问控制不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
WordPress plugin Multiple Page Generator Plugin – MPG 访问控制错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。 WordPress plugin Multiple Page Generator Plugin – MPG 4.0.1版本及之前版本存在访问控制错误漏洞,该漏洞源于缺少对多个函数的功能检查而导致未经授权修改和访问数据。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-7424 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-7424 的情报信息

  • 标题: Multiple Page Generator Plugin – MPG <= 4.0.1 - Missing Authorization -- 🔗来源链接

    标签:

    神龙速读
    Multiple Page Generator Plugin – MPG <= 4.0.1 - Missing Authorization

  • 标题: DatasetController.php in multiple-pages-generator-by-porthas/trunk/controllers – WordPress Plugin Repository -- 🔗来源链接

    标签:

    DatasetController.php in multiple-pages-generator-by-porthas/trunk/controllers – WordPress Plugin Repository

  • 标题: ProjectModel.php in multiple-pages-generator-by-porthas/trunk/models – WordPress Plugin Repository -- 🔗来源链接

    标签:

    ProjectModel.php in multiple-pages-generator-by-porthas/trunk/models – WordPress Plugin Repository

  • 标题: Changeset 3174918 for multiple-pages-generator-by-porthas/trunk/controllers/DatasetController.php – WordPress Plugin Repository -- 🔗来源链接

    标签:

    神龙速读
    Changeset 3174918 for multiple-pages-generator-by-porthas/trunk/controllers/DatasetController.php – WordPress Plugin Repository

  • 标题: Changeset 3174918 for multiple-pages-generator-by-porthas/trunk/models/ProjectModel.php – WordPress Plugin Repository -- 🔗来源链接

    标签:

    神龙速读
    Changeset 3174918 for multiple-pages-generator-by-porthas/trunk/models/ProjectModel.php – WordPress Plugin Repository

  • 标题: Diff [3174918:3178830] for multiple-pages-generator-by-porthas/trunk – WordPress Plugin Repository -- 🔗来源链接

    标签:

    Diff [3174918:3178830] for multiple-pages-generator-by-porthas/trunk – WordPress Plugin Repository
  • https://nvd.nist.gov/vuln/detail/CVE-2024-7424