Flexible Wishlist for WooCommerce – Ecommerce Wishlist & Save for later <= 1.2.26 - Cross-Site Request Forgery to Wishlist Creation/Modification 漏洞信息(CVE-2024-13718)

一、漏洞 CVE-2024-13718 基础信息

AIGC 神龙大模型
美国国家漏洞数据库 NVD

漏洞标题

WooCommerce灵活愿望清单插件<=1.2.26版本存在跨站请求伪造漏洞

来源：AIGC 神龙大模型

漏洞描述信息

WordPress插件Flexible Wishlist for WooCommerce – Ecommerce Wishlist & Save for later在所有版本中（包括1.2.26版本）存在跨站请求伪造漏洞。这是由于多个函数缺少或验证不正确的nonce值。这使得未认证的攻击者可以通过伪造请求来修改、更新或创建其他用户的愿望清单，前提是攻击者能够诱使网站管理员执行某些操作，如点击链接。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N

来源：AIGC 神龙大模型

漏洞类别

跨站请求伪造(CSRF)

来源：AIGC 神龙大模型

漏洞标题

Flexible Wishlist for WooCommerce – Ecommerce Wishlist & Save for later <= 1.2.26 - Cross-Site Request Forgery to Wishlist Creation/Modification

来源：美国国家漏洞数据库 NVD

漏洞描述信息

The Flexible Wishlist for WooCommerce – Ecommerce Wishlist & Save for later plugin for WordPress is vulnerable to Cross-Site Request Forgery in all versions up to, and including, 1.2.26. This is due to missing or incorrect nonce validation on several functions. This makes it possible for unauthenticated attackers to modify/update/create other user's wishlists via a forged request granted they can trick a site administrator into performing an action such as clicking on a link.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N

来源：美国国家漏洞数据库 NVD

漏洞类别

跨站请求伪造(CSRF)

来源：美国国家漏洞数据库 NVD

二、漏洞 CVE-2024-13718 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2024-13718 的情报信息

标题： Flexible Wishlist for WooCommerce – Ecommerce Wishlist & Save for later <= 1.2.26 - Cross-Site Request Forgery to Wishlist Creation/Modification -- 🔗来源链接

标签：
标题： Diff from flexible-wishlist/tags/1.2.26@3242474 to flexible-wishlist/tags/1.2.27@3242474 – WordPress Plugin Repository -- 🔗来源链接

标签：
https://nvd.nist.gov/vuln/detail/CVE-2024-13718

一、 漏洞 CVE-2024-13718 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2024-13718 的公开POC

三、漏洞 CVE-2024-13718 的情报信息

一、漏洞 CVE-2024-13718 基础信息