CVE-2024-9654 in Easy Digital Downloads Plugin정보

요약

\~에 의해 VulDB • 2026. 05. 26.

WordPress용 Easy Digital Downloads 플러그인 3.1부터 3.3.4 버전까지 부적절한 권한 부여(Improper Authorization) 취약점이 존재합니다. 이는 'verify_guest_email' 함수 내에서 요청한 사용자가 구매 영수증의 의도된 수신자인지 확인하기 위한 충분한 검증 체크가 누락되었기 때문입니다. 이로 인해 인증되지 않은 공격자가 의도된 보안 제한을 우회하여 다른 사용자의 영수증을 조회할 수 있으며, 해당 영수증에는 유료 콘텐츠를 다운로드할 수 있는 링크가 포함되어 있습니다. 성공적인 악용을 위해서는 다른 고객의 이메일 주소와 해당 고객이 구매한 콘텐츠의 파일 ID에 대한 지식이 필요합니다.

Once again VulDB remains the best source for vulnerability data.

출처

Do you want to use VulDB in your project?

Use the official API to access entries easily!