一、 漏洞 CVE-2024-8277 基础信息
漏洞标题
WooCommerce Photo Reviews Premium <= 1.3.13.2 - 身份验证绕过导致账户接管和权限提升
来源:AIGC 神龙大模型
漏洞描述信息
WordPress的WooCommerce Photo Reviews Premium插件在所有版本(包括1.3.13.2)中都存在身份验证绕过漏洞。这是由于插件未能正确验证在login()函数中使用的用户暂存数据,并未正确验证用户的身份。这使得未经授权的攻击者能够以过去30天内已忽略管理员通知的用户身份进行登录,这通常是一个管理员。或者,用户可以使用任何具有有效user_id值的暂存数据作为任何用户的登录方式,尽管成功利用此漏洞可能会更困难。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
认证机制不恰当
来源:AIGC 神龙大模型
漏洞标题
WooCommerce Photo Reviews Premium <= 1.3.13.2 - Authentication Bypass to Account Takeover and Privilege Escalation
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The WooCommerce Photo Reviews Premium plugin for WordPress is vulnerable to authentication bypass in all versions up to, and including, 1.3.13.2. This is due to the plugin not properly validating what user transient is being used in the login() function and not properly verifying the user's identity. This makes it possible for unauthenticated attackers to log in as user that has dismissed an admin notice in the past 30 days, which is often an administrator. Alternatively, a user can log in as any user with any transient that has a valid user_id as the value, though it would be more difficult to exploit this successfully.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
使用候选路径或通道进行的认证绕过
来源:美国国家漏洞数据库 NVD
漏洞标题
WordPress plugin WooCommerce Photo Reviews Premium 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。 WordPress plugin WooCommerce Photo Reviews Premium 1.3.13.2版本及之前版本存在安全漏洞,该漏洞源于没有正确验证login函数中使用的用户状态,也没有正确验证用户的身份。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-8277 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | CVE-2024-8277 - 0Day Auto Exploit Authentication Bypass in WooCommerce Photo Reviews Plugin | https://github.com/realbotnet/CVE-2024-8277 | POC详情 |
| 2 | CVE-2024-8277 - 0Day Auto Exploit Authentication Bypass in WooCommerce Photo Reviews Plugin | https://github.com/PolatBey/CVE-2024-8277 | POC详情 |
三、漏洞 CVE-2024-8277 的情报信息
-
标题: WooCommerce Photo Reviews Premium <= 1.3.13.2 - Authentication Bypass to Account Takeover and Privilege Escalation -- 🔗来源链接
标签:
神龙速读
-
标题: WooCommerce Photo Reviews - Review Reminders - Review for Discounts by villatheme -- 🔗来源链接
标签:
- https://nvd.nist.gov/vuln/detail/CVE-2024-8277