漏洞信息
# Moneytizer <= 9.5.20 - 通过多个 AJAX 动作缺少授权
# 漏洞描述
## 概述
The Moneytizer插件存在权限检查缺失漏洞,导致未经授权的用户可以访问、修改和删除数据。
## 影响版本
所有版本号小于等于9.5.20的版本均受影响。
## 细节
在/core/core_ajax.php文件中,多个AJAX函数缺少必要的能力检查。这使得具有订阅者权限及以上的经过身份验证的攻击者能够执行以下操作:
- 更新和检索账单和银行详情。
- 更新和重置插件配置。
- 更新语言设置。
- 执行其他低危操作。
## 影响
该漏洞可能允许攻击者获取敏感信息并修改插件配置,严重影响系统的安全性和完整性。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
The Moneytizer <= 9.5.20 - Missing Authorization via multiple AJAX actions
漏洞描述信息
The The Moneytizer plugin for WordPress is vulnerable to unauthorized access of data, modification of data, and loss of data due to a missing capability check on multiple AJAX functions in the /core/core_ajax.php file in all versions up to, and including, 9.5.20. This makes it possible for authenticated attackers, with subscriber access and above, to update and retrieve billing and bank details, update and reset the plugin's settings, and update languages as well as other lower-severity actions.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
漏洞类别
N/A
漏洞标题
WordPress plugin The Moneytizer 安全漏洞
漏洞描述信息
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。 WordPress plugin The Moneytizer 9.5.20版本及之前版本存在安全漏洞,该漏洞源于/core/core_ajax.php 文件中的多个 AJAX 函数缺少功能检查。
CVSS信息
N/A
漏洞类别
其他