关键漏洞信息 漏洞标题 Sitemap by click5 < 1.0.36 - Unauthenticated Arbitrary Options Update 描述 插件在使用REST端点更新选项时缺乏授权和CSRF检查。 未确保更新的选项属于该插件。 未授权的攻击者可以更改任意博客选项,例如 和 ,允许他们创建新管理员账户并接管博客。 漏洞证明 影响的插件 sitemap-by-click5 在1.0.36版本中修复 参考 CVE: CVE-2022-0952 分类 类型: 无授权 OWASP Top 10: A5: Broken Access Control CWE: CWE-862 CVSS: 10.0 (critical) 其他信息 原始研究者: cydave 提交者: cydave 提交者网站: https://cyllective.com/ 提交者Twitter: cyllective 已验证: 是 WPVDB ID: 0f694961-afab-44f9-846c-e80a0f6c768b 时间线 公开发布: 2022-04-11 (约3年前) 添加: 2022-04-11 (约3年前) 最后更新: 2022-04-13 (约3年前)