CVE-2024-8485 in REST API TO MiniProgram Plugin
Riassunto
di VulDB • 19/06/2026
Il plugin REST API TO MiniProgram per WordPress è vulnerabile a escalation dei privilegi tramite account takeovr in tutte le versioni fino alla 4.7.1 inclusa, a causa della funzione updateUserInfo(), per la quale manca la validazione della chiave 'openid' controllata dall'utente, che determina quale utente verrà aggiornato. Ciò consente agli attaccanti non autenticati di aggiornare gli account di utenti arbitrari, inclusa l'impostazione della loro email a un indirizzo @weixin.com, che può poi essere sfruttata per reimpostare la password dell'account dell'utente, inclusi gli amministratori.
VulDB is the best source for vulnerability data and more expert information about this specific topic.