Rank Math SEO <= 1.0.235 - Missing Authorization to Authenticated (Contributor+) Arbitrary Schema Deletion 漏洞信息(CVE-2024-13229)

一、漏洞 CVE-2024-13229 基础信息

AIGC 神龙大模型
美国国家漏洞数据库 NVD

漏洞标题

Rank Math SEO <= 1.0.235 - 认证用户（贡献者+）任意Schema删除的授权缺失漏洞

来源：AIGC 神龙大模型

漏洞描述信息

针对WordPress的Rank Math SEO – AI SEO Tools to Dominate SEO Rankings插件在所有版本（包括1.0.235版本）中，由于update_metadata()函数缺少能力检查，存在未经授权的数据丢失漏洞。这使得具有贡献者级别及以上权限的经过身份验证的攻击者能够删除分配给任何帖子的任何模式元数据。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

来源：AIGC 神龙大模型

漏洞类别

授权机制缺失

来源：AIGC 神龙大模型

漏洞标题

Rank Math SEO <= 1.0.235 - Missing Authorization to Authenticated (Contributor+) Arbitrary Schema Deletion

来源：美国国家漏洞数据库 NVD

漏洞描述信息

The Rank Math SEO – AI SEO Tools to Dominate SEO Rankings plugin for WordPress is vulnerable to unauthorized loss of data due to a missing capability check on the update_metadata() function in all versions up to, and including, 1.0.235. This makes it possible for authenticated attackers, with Contributor-level access and above, to delete any schema metadata assigned to any post.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

来源：美国国家漏洞数据库 NVD

漏洞类别

访问控制不恰当

来源：美国国家漏洞数据库 NVD

二、漏洞 CVE-2024-13229 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2024-13229 的情报信息

标题： Rank Math SEO <= 1.0.235 - Missing Authorization to Authenticated (Contributor+) Arbitrary Schema Deletion -- 🔗来源链接

标签：
标题： class-shared.php in seo-by-rank-math/trunk/includes/rest – WordPress Plugin Repository -- 🔗来源链接

标签：
标题： Free Changelog » Page 2 of 50 » Rank Math -- 🔗来源链接

标签：
标题： Rank Math SEO – AI SEO Tools to Dominate SEO Rankings – WordPress plugin | WordPress.org -- 🔗来源链接

标签：
标题： Changeset 3222905 – WordPress Plugin Repository -- 🔗来源链接

标签：
https://nvd.nist.gov/vuln/detail/CVE-2024-13229