一、 漏洞 CVE-2024-13689 基础信息
漏洞标题
Uncode Core <= 2.9.1.6 - 经身份验证 (订阅者+) 的 uncode_get_medias 任意短代码执行漏洞
来源:AIGC 神龙大模型
漏洞描述信息
WordPress的Uncode Core插件在所有版本中(包括2.9.1.6版本)存在任意短代码执行漏洞。这是由于软件允许用户在执行do_shortcode之前,不对某个值进行适当的验证。这使得具有订阅者级别及以上访问权限的经过身份验证的攻击者能够执行任意短代码。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
输入验证不恰当
来源:AIGC 神龙大模型
漏洞标题
Uncode Core <= 2.9.1.6 - Authenticated (Subscriber+) Arbitrary Shortcode Execution in uncode_get_medias
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The Uncode Core plugin for WordPress is vulnerable to arbitrary shortcode execution in all versions up to, and including, 2.9.1.6. This is due to the software allowing users to execute an action that does not properly validate a value before running do_shortcode. This makes it possible for authenticated attackers, with Subscriber-level access and above, to execute arbitrary shortcodes.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
对生成代码的控制不恰当(代码注入)
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2024-13689 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2024-13689 的情报信息
-
标题: Uncode Core <= 2.9.1.6 - Authenticated (Subscriber+) Arbitrary Shortcode Execution in uncode_get_medias -- 🔗来源链接
标签:
-
标题: Change Log – Uncode Theme - Documentation and Help Center -- 🔗来源链接
标签:
- https://nvd.nist.gov/vuln/detail/CVE-2024-13689