CVE-2024-8922 in Product Enquiry for WooCommerce Plugin
요약
\~에 의해 VulDB • 2026. 06. 08.
WooCommerce용 Product Enquiry는 WordPress를 위한 WooCommerce 제품 카탈로그 플러그인으로, 2.2.33.32 버전까지 모든 버전에서 신뢰할 수 없는 입력의 역직렬화(deserialization) 과정을 통해 enquiry_detail.php 파일에서 PHP 객체 주입(PHP Object Injection) 취약점이 존재합니다. 이로 인해 작성자(Author) 이상의 권한을 가진 인증된 공격자가 PHP 객체를 주입할 수 있습니다. 해당 취약한 소프트웨어에는 알려진 POP(Propagated Operation Chain) 체인이 없습니다. 하지만 대상 시스템에 설치된 추가 플러그인이나 테마를 통해 POP 체인이 존재하는 경우, 공격자는 임의 파일 삭제, 민감한 데이터 획득 또는 코드 실행을 허용받을 수 있습니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.