Option Editor <= 1.0 - Cross-Site Request Forgery to Arbitrary Options Update 漏洞信息(CVE-2024-13852)

一、漏洞 CVE-2024-13852 基础信息

AIGC 神龙大模型
美国国家漏洞数据库 NVD

漏洞标题

Option Editor <= 1.0存在跨站请求伪造漏洞可任意修改配置选项

来源：AIGC 神龙大模型

漏洞描述信息

WordPress的Option Editor插件在版本1.0中存在跨站请求伪造漏洞。这是由于插件的plugin_page()函数缺少nonce验证。这使得未认证的攻击者能够通过伪造请求来更新WordPress网站上的任意选项，前提是攻击者能够诱使网站管理员执行某些操作，如点击链接。攻击者可以利用此漏洞将注册默认角色更改为管理员并启用用户注册，从而获得对易受攻击站点的管理员访问权限。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H

来源：AIGC 神龙大模型

漏洞类别

跨站请求伪造(CSRF)

来源：AIGC 神龙大模型

漏洞标题

Option Editor <= 1.0 - Cross-Site Request Forgery to Arbitrary Options Update

来源：美国国家漏洞数据库 NVD

漏洞描述信息

The Option Editor plugin for WordPress is vulnerable to Cross-Site Request Forgery in version 1.0. This is due to missing nonce validation on the plugin_page() function. This makes it possible for unauthenticated attackers to update arbitrary options on the WordPress site via a forged request, granted they can trick a site administrator into performing an action such as clicking on a link. This can be leveraged to update the default role for registration to administrator and enable user registration for attackers to gain administrative user access to a vulnerable site.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

来源：美国国家漏洞数据库 NVD

漏洞类别

跨站请求伪造(CSRF)

来源：美国国家漏洞数据库 NVD

二、漏洞 CVE-2024-13852 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2024-13852 的情报信息

标题： Option Editor <= 1.0 - Cross-Site Request Forgery to Arbitrary Options Update -- 🔗来源链接

标签：
标题： option-editor.php in option-editor/trunk – WordPress Plugin Repository -- 🔗来源链接

标签：
标题： Option Editor – WordPress plugin | WordPress.org -- 🔗来源链接

标签：
https://nvd.nist.gov/vuln/detail/CVE-2024-13852

一、 漏洞 CVE-2024-13852 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2024-13852 的公开POC

三、漏洞 CVE-2024-13852 的情报信息

一、漏洞 CVE-2024-13852 基础信息