支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:752

75.2%
立即捐款
一、 漏洞 CVE-2022-4940 基础信息
漏洞信息
                                        # N/A

## 漏洞概述
WCFM Membership 插件在 WordPress 中存在未经授权的数据修改和访问漏洞,影响版本包括 2.10.0 及以下版本。该漏洞是由于多个 AJAX 操作缺少能力检查,从而允许未认证的攻击者执行一系列操作。

## 影响版本
- 2.10.0 及以下版本

## 漏洞详情
插件中多个 AJAX 操作缺乏必要的权限验证,导致未认证的攻击者可以执行各种操作,包括但不限于修改会员详细信息、更改续订信息、控制会员审批等。

## 影响
未认证的攻击者可以修改和控制会员信息,可能导致敏感数据泄露、未授权访问等安全问题。
神龙判断

是否为 Web 类漏洞:

判断理由:

是。这个漏洞影响Web服务的服务端,因为它允许未经身份验证的攻击者通过利用WordPress插件WCFM Membership的漏洞,执行AJAX操作来进行各种未经授权的数据修改和访问,这直接影响了服务端的数据安全和完整性。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The WCFM Membership plugin for WordPress is vulnerable to unauthorized modification and access of data in versions up to, and including, 2.10.0 due to missing capability checks on various AJAX actions. This makes it possible for unauthenticated attackers to perform a wide variety of actions such as modifying membership details, changing renewal information, controlling membership approvals, and more.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
WordPress plugin WCFM Marketplace 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。 WordPress plugin WCFM Marketplace 存在安全漏洞,该漏洞源于缺少对各种 AJAX 操作的检查。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2022-4940 的公开POC
#POC 描述源链接神龙链接
1The WCFM Membership plugin for WordPress is vulnerable to unauthorized modification and access of data in versions up to, and including, 2.10.0 due to missing capability checks true the AJAX actions: wcfm-memberships, wcfm-memberships-manage, and wcfm-memberships-settings. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2022/CVE-2022-4940.yamlPOC详情
三、漏洞 CVE-2022-4940 的情报信息
四、漏洞 CVE-2022-4940 的评论

暂无评论

发表评论