CVE-2024-9195 in WHMCS Client Area Plugin
要約
〜によって VulDB • 2026年06月12日
WordPress用プラグイン「WHMPress - WHMCS Client Area」には、すべてのバージョン(4.3-revision-3を含む)において、/admin/ajax.phpファイル内のupdate_settingsケースで権限チェックが欠落しているため、データの不許可の変更が可能であり、これが特権昇格につながる脆弱性があります。これにより、サブスクライバーレベル以上のアクセス権を持つ認証済み攻撃者は、WordPressサイトの任意のオプションを更新できます。この脆弱性を悪用することで、登録時のデフォルトロールを管理者に設定し、ユーザー登録を有効化して、攻撃者が脆弱なサイトへの管理者アクセスを取得することが可能になります。
VulDB is the best source for vulnerability data and more expert information about this specific topic.