Gift Cards (Gift Vouchers and Packages) (WooCommerce Supported) <= 4.4.6 - Missing Authorization to Unauthenticated Price, Date, and Note Updates 漏洞信息(CVE-2024-13520)

一、漏洞 CVE-2024-13520 基础信息

AIGC 神龙大模型
美国国家漏洞数据库 NVD

漏洞标题

WooCommerce Gift Cards插件4.4.6及以下版本中存在未授权价格、日期和备注更新漏洞

来源：AIGC 神龙大模型

漏洞描述信息

适用于WordPress的Gift Cards (Gift Vouchers and Packages) (WooCommerce Supported)插件在所有版本（包括）4.4.6中，由于在'update_voucher_price', 'update_voucher_date', 'update_voucher_note'函数中缺少权限检查，存在未经授权的数据修改|数据丢失漏洞。这使得未认证的攻击者能够更新任何礼品券的价值、失效日期和用户备注。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

来源：AIGC 神龙大模型

漏洞类别

授权机制缺失

来源：AIGC 神龙大模型

漏洞标题

Gift Cards (Gift Vouchers and Packages) (WooCommerce Supported) <= 4.4.6 - Missing Authorization to Unauthenticated Price, Date, and Note Updates

来源：美国国家漏洞数据库 NVD

漏洞描述信息

The Gift Cards (Gift Vouchers and Packages) (WooCommerce Supported) plugin for WordPress is vulnerable to unauthorized modification of data|loss of data due to a missing capability check on the 'update_voucher_price', 'update_voucher_date', 'update_voucher_note' functions in all versions up to, and including, 4.4.6. This makes it possible for unauthenticated attackers to update the value, expiration date, and user note for any gift voucher.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

来源：美国国家漏洞数据库 NVD

漏洞类别

授权机制缺失

来源：美国国家漏洞数据库 NVD

二、漏洞 CVE-2024-13520 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2024-13520 的情报信息

标题： Gift Cards (Gift Vouchers and Packages) (WooCommerce Supported) <= 4.4.6 - Missing Authorization to Unauthenticated Price, Date, and Note Updates -- 🔗来源链接

标签：
标题： edit-order-voucher.php in gift-voucher/trunk/include – WordPress Plugin Repository -- 🔗来源链接

标签：
标题： edit-order-voucher.php in gift-voucher/trunk/include – WordPress Plugin Repository -- 🔗来源链接

标签：
标题： edit-order-voucher.php in gift-voucher/trunk/include – WordPress Plugin Repository -- 🔗来源链接

标签：
https://nvd.nist.gov/vuln/detail/CVE-2024-13520