Jeg Elementor Kit <= 2.5.6 - Authorization Bypass

The Jeg Elementor Kit plugin for WordPress is vulnerable to authorization bypass in various AJAX actions in versions up to, and including, 2.5.6. Authenticated users can use an easily available nonce value to create header templates and make additional changes to the site, as the plugin does not use capability checks for this purpose.

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

通过用户控制密钥绕过授权机制

WordPress plugin Jeg Elementor Kit 安全漏洞

WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。iframe是使用在其中的一个用于将另一个文档嵌入当前HTML文档中的内联框架。Elementor是一个网站构建器，允许WordPress用户创建和编辑网站。 WordPress plugin Jeg Elementor Kit 2.5.6及之前版本存在安全漏洞，该漏洞源于各种AJAX操作中存在授权绕过，经过身份验证的用户可以使用易于获得的随机数值来创建标头模板并对站点进行其他更改。

N/A

N/A