关键漏洞信息 描述 漏洞类型: CSRF (跨站请求伪造) 受影响插件: Custom Author Base <= 1.1.1 问题: 插件在更新设置时没有进行CSRF检查,允许攻击者通过CSRF攻击更改已登录管理员的设置。 漏洞详情 CVE编号: CVE-2024-8050 分类: - OWASP Top 10: A2: Broken Authentication and Session Management - CWE: CWE-352 - CVSS评分: 4.3 (中等) 时间线 公开发布日期: 2024-07-11 添加日期: 2024-09-13 最后更新日期: 2024-09-13 其他信息 原始研究员: Daniel Ruf 提交者网站: https://magos-securitas.com/ 验证状态: 已验证 WPVDB ID: 28c9c127-464a-4750-8b62-a9b90b01f1af 参考资料 相关漏洞: - Cool Video Gallery 1.8 - admin/gallery-manage.php Gallery Deletion CSRF - Ad Invalid Click Protector (AICP) < 1.2.7 - Arbitrary Ban Deletion via CSRF - Quick Subscribe <= 1.71 - Arbitrary Settings Update via CSRF to Stored XSS - ReDi Restaurant Reservation < 24.0303 - Cross-Site Request Forgery via redi_restaurant_admin_options_page() - Buddypress Humanity <= 1.2 - Cross-Site Request Forgery to Privilege Escalation