一、 漏洞 CVE-2024-12860 基础信息
漏洞标题
CarSpot – Dealership Wordpress Classified Theme <= 2.4.3 版本存在未认证任意密码重置/账号接管漏洞
来源:AIGC 神龙大模型
漏洞描述信息
CarSpot – Dealership Wordpress Classified Theme 插件在所有版本(包括)2.4.3 中存在权限提升漏洞,攻击者可以通过接管账户的方式利用该漏洞。这是由于插件在更新用户密码时未能正确验证令牌。这使得未认证的攻击者能够更改任意用户的密码(包括管理员),并利用这一点来访问其账户。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
认证机制不恰当
来源:AIGC 神龙大模型
漏洞标题
CarSpot – Dealership Wordpress Classified Theme <= 2.4.3 - Unauthenticated Arbitrary Password Reset/Account Takeover
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The CarSpot – Dealership Wordpress Classified Theme theme for WordPress is vulnerable to privilege escalation via account takeover in all versions up to, and including, 2.4.3. This is due to the plugin not properly validating a token prior to updating a user's password. This makes it possible for unauthenticated attackers to change arbitrary user's passwords, including administrators, and leverage that to gain access to their account.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
未经验证的口令修改
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2024-12860 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2024-12860 的情报信息
-
标题: CarSpot – Dealership Wordpress Classified Theme <= 2.4.3 - Unauthenticated Arbitrary Password Reset/Account Takeover -- 🔗来源链接
标签:
-
标题: CarSpot – Dealership Wordpress Classified Theme by scriptsbundle | ThemeForest -- 🔗来源链接
标签:
- https://nvd.nist.gov/vuln/detail/CVE-2024-12860