一、 漏洞 CVE-2024-4898 基础信息
漏洞信息
                                        # InstaWP Connect 0.1.0.38 未授权API漏洞

## 漏洞概述
InstaWP Connect – 1-click WP Staging & Migration 插件中存在一个漏洞,该漏洞允许未经授权的攻击者通过 REST API 调用更新任意选项,包括将网站连接到 InstaWP API、编辑任意站点选项和创建管理员账户。

## 影响版本
所有版本直到且包括 0.1.0.38

## 漏洞细节
该漏洞是由于 REST API 调用中缺少授权检查,导致未经授权的用户可以执行敏感操作,如更新任意选项、连接到 InstaWP API 和创建管理员账户。

## 影响
该漏洞允许攻击者:
- 将目标站点连接到 InstaWP API
- 编辑任意站点选项
- 创建新的管理员账户
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
InstaWP Connect – 1-click WP Staging & Migration <= 0.1.0.38 - Missing Authorization to Unauthenticated API setup/Arbitrary Options Update/Administrative User Creation
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The InstaWP Connect – 1-click WP Staging & Migration plugin for WordPress is vulnerable to arbitrary option updates due to a missing authorization checks on the REST API calls in all versions up to, and including, 0.1.0.38. This makes it possible for unauthenticated attackers to connect the site to InstaWP API, edit arbitrary site options and create administrator accounts.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
WordPress plugin InstaWP Connect 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。 WordPress plugin InstaWP Connect 0.1.0.38 版本之前存在安全漏洞,该漏洞源于缺少 REST API 调用的授权检查。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-4898 的公开POC
# POC 描述 源链接 神龙链接
1 CVE-2024-4898 InstaWP Connect – 1-click WP Staging & Migration <= 0.1.0.38 - Missing Authorization to Unauthenticated API setup/Arbitrary Options Update/Administrative User Creation https://github.com/truonghuuphuc/CVE-2024-4898-Poc POC详情
2 None https://github.com/cve-2024/CVE-2024-4898-Poc POC详情
3 The InstaWP Connect – 1-click WP Staging & Migration plugin for WordPress is vulnerable to arbitrary option updates due to a missing authorization checks on the REST API calls in all versions up to, and including, 0.1.0.38. This makes it possible for unauthenticated attackers to connect the site to InstaWP API, edit arbitrary site options and create administrator accounts. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2024/CVE-2024-4898.yaml POC详情
4 CVE-2024-4898 InstaWP Connect – 1-click WP Staging & Migration <= 0.1.0.38 - Missing Authorization to Unauthenticated API setup/Arbitrary Options Update/Administrative User Creation https://github.com/gh-ost00/CVE-2024-4898 POC详情
三、漏洞 CVE-2024-4898 的情报信息
四、漏洞 CVE-2024-4898 的评论

暂无评论

发表评论