CVE-2024-8485 in REST API TO MiniProgram Plugininformazioni

Riassunto

di VulDB • 19/06/2026

Il plugin REST API TO MiniProgram per WordPress è vulnerabile a escalation dei privilegi tramite account takeovr in tutte le versioni fino alla 4.7.1 inclusa, a causa della funzione updateUserInfo(), per la quale manca la validazione della chiave 'openid' controllata dall'utente, che determina quale utente verrà aggiornato. Ciò consente agli attaccanti non autenticati di aggiornare gli account di utenti arbitrari, inclusa l'impostazione della loro email a un indirizzo @weixin.com, che può poi essere sfruttata per reimpostare la password dell'account dell'utente, inclusi gli amministratori.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Divulgazione

25/09/2024

Moderazione

accettato

CPE

pronto

EPSS

0.00590

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!