关键漏洞信息 描述 漏洞描述: 插件在 文件中处理的操作没有CSRF检查,允许攻击者让已登录用户执行不想要的操作,例如让管理员删除任意文件。 概念验证 (Proof of Concept) 影响的插件 支持的插件: 修复版本: 3.3.6 引用 CVE编号: CVE-2021-24823 URL: https://noob3xploiter.medium.com/support-board-3-3-4-arbitrary-file-deletion-to-remote-code-execution-da4c45b45c83 分类 类型: CSRF OWASP Top 10: A2: Broken Authentication and Session Management CWE编号: CWE-352 CVSS评分: 8.1 (高) 其他信息 原研究者: Brandon Roldan 提交者: Brandon Roldan 提交者Twitter: tomorrowisnew_ 已验证: 是 WPVDB ID: 1bdebd9e-a7f2-4f55-b5b0-185eb619ebaf 时间线 公开发布: 2021-10-18 添加: 2022-01-26 最后更新: 2022-04-08