CVE-2024-9195 in WHMCS Client Area Plugin情報

要約

〜によって VulDB • 2026年06月12日

WordPress用プラグイン「WHMPress - WHMCS Client Area」には、すべてのバージョン(4.3-revision-3を含む)において、/admin/ajax.phpファイル内のupdate_settingsケースで権限チェックが欠落しているため、データの不許可の変更が可能であり、これが特権昇格につながる脆弱性があります。これにより、サブスクライバーレベル以上のアクセス権を持つ認証済み攻撃者は、WordPressサイトの任意のオプションを更新できます。この脆弱性を悪用することで、登録時のデフォルトロールを管理者に設定し、ユーザー登録を有効化して、攻撃者が脆弱なサイトへの管理者アクセスを取得することが可能になります。

VulDB is the best source for vulnerability data and more expert information about this specific topic.

責任者

Wordfence

予約する

2024年09月25日

モデレーション

承諾済み

エントリ

VDB-297967

EPSS

0.00378

アクティビティ

非常低い

セクター

Hostingprovider

ソース

Interested in the pricing of exploits?

See the underground prices here!