Stream <= 4.0.2 - Authenticated (Admin+) Server-Side Request Forgery 漏洞信息(CVE-2024-13879)

一、漏洞 CVE-2024-13879 基础信息

AIGC 神龙大模型
美国国家漏洞数据库 NVD

漏洞标题

Stream <= 4.0.2 - 经认证（管理员+）服务端请求伪造漏洞

来源：AIGC 神龙大模型

漏洞描述信息

WordPress的Stream插件在所有版本（包括）4.0.2及以下版本中存在服务端请求伪造漏洞，原因是该插件对webhook功能验证不足。这使得具有管理员级别及以上权限的经过身份验证的攻击者能够从Web应用程序向任意位置发起Web请求，从而可用于查询和修改内部服务中的信息。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N

来源：AIGC 神龙大模型

漏洞类别

服务端请求伪造(SSRF)

来源：AIGC 神龙大模型

漏洞标题

Stream <= 4.0.2 - Authenticated (Admin+) Server-Side Request Forgery

来源：美国国家漏洞数据库 NVD

漏洞描述信息

The Stream plugin for WordPress is vulnerable to Server-Side Request Forgery in all versions up to, and including, 4.0.2 due to insufficient validation on the webhook feature. This makes it possible for authenticated attackers, with administrator-level access and above, to make web requests to arbitrary locations originating from the web application which can be used to query and modify information from internal services.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N

来源：美国国家漏洞数据库 NVD

漏洞类别

服务端请求伪造(SSRF)

来源：美国国家漏洞数据库 NVD

二、漏洞 CVE-2024-13879 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2024-13879 的情报信息

标题： Stream <= 4.0.2 - Authenticated (Admin+) Server-Side Request Forgery -- 🔗来源链接

标签：
标题： Changeset 3226637 for stream – WordPress Plugin Repository -- 🔗来源链接

标签：
标题： stream/changelog.md at develop · xwp/stream · GitHub -- 🔗来源链接

标签：
https://nvd.nist.gov/vuln/detail/CVE-2024-13879

一、 漏洞 CVE-2024-13879 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2024-13879 的公开POC

三、漏洞 CVE-2024-13879 的情报信息

一、漏洞 CVE-2024-13879 基础信息