漏洞标题
"Zephyr项目管理器 <= 3.3.101 - 已认证(订阅者+)受限权限提升"
漏洞描述信息
至3.3.101版本的WordPress Zephyr项目管理插件存在受限的提升权限漏洞。这是因为在允许用户通过update_user_access()函数启用对插件设置的访问之前,插件未正确检查用户权限。这意味着具有订阅者级别权限或更高权限的已认证攻击者可以授予自己完全访问插件设置的权限。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
漏洞类别
授权机制缺失
漏洞标题
Zephyr Project Manager <= 3.3.101 - Authenticated (Subscriber+) Limited Privilege Escalation
漏洞描述信息
The Zephyr Project Manager plugin for WordPress is vulnerable to limited privilege escalation in all versions up to, and including, 3.3.101. This is due to the plugin not properly checking a users capabilities before allowing them to enable access to the plugin's settings through the update_user_access() function. This makes it possible for authenticated attackers, with subscriber-level access and above, to grant themselves full access to the plugin's settings.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
漏洞类别
授权机制不恰当
漏洞标题
WordPress plugin Zephyr Project Manager 安全漏洞
漏洞描述信息
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。 WordPress plugin Zephyr Project Manager 3.3.101版本及之前版本存在安全漏洞,该漏洞源于在允许用户通过update_user_access函数启用对插件设置的访问权限之前未正确检查用户的能力。
CVSS信息
N/A
漏洞类别
其他