一、 漏洞 CVE-2024-13538 基础信息
漏洞标题
WooCommerce用BigBuy Dropshipping Connector组件<= 1.9.19版本存在未认证的完整路径泄漏漏洞
来源:AIGC 神龙大模型
漏洞描述信息
WordPress插件BigBuy Dropshipping Connector for WooCommerce在所有版本(包括1.9.19版本)中存在完整路径泄露漏洞。这是由于/vendor/cocur/slugify/bin/generate-default.php文件可以直接访问并触发错误,使得未认证的攻击者可以获取Web应用程序的完整路径。虽然泄露的信息本身并不足以造成损害,但可以辅助其他攻击。需要注意的是,要对受影响的网站造成实际损害,通常还需要存在其他漏洞。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
信息暴露
来源:AIGC 神龙大模型
漏洞标题
BigBuy Dropshipping Connector for WooCommerce <= 1.9.19 - Unauthenticated Full Path Disclosute
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The BigBuy Dropshipping Connector for WooCommerce plugin for WordPress is vulnerable to Full Path Disclosure in all versions up to, and including, 1.9.19. This is due the /vendor/cocur/slugify/bin/generate-default.php file being directly accessible and triggering an error. This makes it possible for unauthenticated attackers to retrieve the full path of the web application, which can be used to aid other attacks. The information displayed is not useful on its own, and requires another vulnerability to be present for damage to an affected website.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
通过错误消息导致的信息暴露
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2024-13538 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2024-13538 的情报信息
-
标题: BigBuy Dropshipping Connector for WooCommerce <= 1.9.19 - Unauthenticated Full Path Disclosute -- 🔗来源链接
标签:
-
标题: generate-default.php in bigbuy-wc-dropshipping-connector/trunk/vendor/cocur/slugify/bin – WordPress Plugin Repository -- 🔗来源链接
标签:
- https://nvd.nist.gov/vuln/detail/CVE-2024-13538