一、 漏洞 CVE-2024-13513 基础信息
漏洞标题
Oliver POS – A WooCommerce Point of Sale (POS) <= 2.4.2.3存在敏感信息泄露至权限提升漏洞
来源:AIGC 神龙大模型
漏洞描述信息
Oliver POS是一款适用于WordPress的WooCommerce销售点(POS)插件,在所有版本(包括2.4.2.3版本)中存在敏感信息泄露漏洞,该漏洞通过日志功能暴露插件的clientToken等敏感数据。未授权攻击者可以利用此漏洞获取插件的clientToken,进一步修改用户账号信息(包括电子邮件和账号类型),最终更改账户密码,导致整个站点被完全控制。版本2.4.2.3虽然禁用了日志功能,但对已经存在日志文件的站点仍然存在漏洞。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
通过日志文件的信息暴露
来源:AIGC 神龙大模型
漏洞标题
Oliver POS – A WooCommerce Point of Sale (POS) <= 2.4.2.3 - Sensitive Information Exposure to Privilege Escalation
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The Oliver POS – A WooCommerce Point of Sale (POS) plugin for WordPress is vulnerable to Sensitive Information Exposure in all versions up to, and including, 2.4.2.3 via the logging functionality. This makes it possible for unauthenticated attackers to extract sensitive data including the plugin's clientToken, which in turn can be used to change user account information including emails and account type. This allows attackers to then change account passwords resulting in a complete site takeover. Version 2.4.2.3 disabled logging but left sites with existing log files vulnerable.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
授权机制缺失
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2024-13513 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-13513 的情报信息