漏洞信息
# Give <= 3.22.0 - 通过 give_reports_earnings 函数导致未授权的任意收益报告披露
## 漏洞概述
GiveWP – Donation 插件和筹款平台版本 3.22.0 及之前的版本存在未授权访问数据的漏洞。漏洞源于 `give_reports_earnings()` 函数缺少权限检查,导致敏感的收益报告信息可能被披露。
## 影响版本
- 所有版本 <= 3.22.0
## 漏洞细节
`give_reports_earnings()` 函数未进行适当的权限检查,攻击者无需认证即可访问此函数,从而获取敏感的收益报告信息。
## 漏洞影响
攻击者能够未经授权访问并泄露敏感的收益报告数据,可能导致隐私泄露和经济损失。
神龙判断
是否为 Web 类漏洞: 是
判断理由:
是。这个漏洞是由于GiveWP插件的给定函数`give_reports_earnings()`中缺少权限验证机制,导致未认证的攻击者能够访问和披露 earnings reports 中包含的敏感信息。这属于Web服务端的安全漏洞,因为它是由于服务端代码的安全检查不足造成的。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Give <= 3.22.0 - Missing Authorization to Unauthenticated Arbitrary Earning Reports Disclosure via give_reports_earnings Function
漏洞描述信息
The GiveWP – Donation Plugin and Fundraising Platform plugin for WordPress is vulnerable to unauthorized access of data due to a missing capability check on the give_reports_earnings() function in all versions up to, and including, 3.22.0. This makes it possible for unauthenticated attackers to disclose sensitive information included within earnings reports.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
漏洞类别
授权机制缺失
漏洞标题
WordPress plugin GiveWP 安全漏洞
漏洞描述信息
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。 WordPress plugin GiveWP 3.22.0及之前版本存在安全漏洞,该漏洞源于缺少能力检查,可能导致未经授权的数据访问。
CVSS信息
N/A
漏洞类别
其他