Post Grid Gutenberg Blocks and WordPress Blog Plugin – PostX <= 4.1.2 - Missing Authorization to Arbitrary Options Update 漏洞信息(CVE-2024-5326)

漏洞信息

                                        # PostX 插件 任意选项更新漏洞

## 漏洞概述
Post Grid Gutenberg Blocks 和 WordPress Blog 插件 PostX 在 WordPress 中存在权限验证不足的问题，导致未经授权的数据修改。

## 影响版本
所有版本包括 4.1.2 及以前版本。

## 漏洞细节
`postx_presets_callback` 函数缺少权限检查，使得具有 Contributor 权限及以上的认证攻击者能够修改受感染站点上的任意选项。攻击者可以启用新用户注册，并将新用户的默认角色设置为管理员。

## 影响
攻击者可以更改任意选项，启用新用户注册并提升新用户的权限，从而获得更高的系统控制权。

提示

尽管我们采用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确，但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利！

漏洞标题

Post Grid Gutenberg Blocks and WordPress Blog Plugin – PostX <= 4.1.2 - Missing Authorization to Arbitrary Options Update

来源：美国国家漏洞数据库 NVD

漏洞描述信息

The Post Grid Gutenberg Blocks and WordPress Blog Plugin – PostX plugin for WordPress is vulnerable to unauthorized modification of data due to a missing capability check on the 'postx_presets_callback' function in all versions up to, and including, 4.1.2. This makes it possible for authenticated attackers, with Contributor-level access and above, to change arbitrary options on affected sites. This can be used to enable new user registration and set the default role for new users to Administrator.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

来源：美国国家漏洞数据库 NVD

漏洞类别

N/A

来源：美国国家漏洞数据库 NVD

漏洞标题

WordPress plugin PostX 安全漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。 WordPress plugin PostX 4.1.2 版本及之前版本存在安全漏洞，该漏洞源于存在未授权的数据修改问题。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

其他

来源：中国国家信息安全漏洞库 CNNVD

#	POC 描述	源链接	神龙链接
1	CVE-2024-5326 Post Grid Gutenberg Blocks and WordPress Blog Plugin – PostX <= 4.1.2 - Missing Authorization to Arbitrary Options Update	https://github.com/truonghuuphuc/CVE-2024-5326-Poc	POC详情
2	None	https://github.com/cve-2024/CVE-2024-5326-Poc	POC详情
3	CVE-2024-5326 Post Grid Gutenberg Blocks and WordPress Blog Plugin – PostX <= 4.1.2 - Missing Authorization to Arbitrary Options Update	https://github.com/djayaGit/CVE-2024-5326-Poc	POC详情

暂无评论

一、漏洞 CVE-2024-5326 基础信息

漏洞信息

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2024-5326 的公开POC

三、漏洞 CVE-2024-5326 的情报信息

四、漏洞 CVE-2024-5326 的评论

发表评论

一、 漏洞 CVE-2024-5326 基础信息

漏洞信息

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2024-5326 的公开POC

三、漏洞 CVE-2024-5326 的情报信息

四、漏洞 CVE-2024-5326 的评论

发表评论

一、漏洞 CVE-2024-5326 基础信息