CVE-2024-9654 in Easy Digital Downloads Plugin
요약
\~에 의해 VulDB • 2026. 05. 26.
WordPress용 Easy Digital Downloads 플러그인 3.1부터 3.3.4 버전까지 부적절한 권한 부여(Improper Authorization) 취약점이 존재합니다. 이는 'verify_guest_email' 함수 내에서 요청한 사용자가 구매 영수증의 의도된 수신자인지 확인하기 위한 충분한 검증 체크가 누락되었기 때문입니다. 이로 인해 인증되지 않은 공격자가 의도된 보안 제한을 우회하여 다른 사용자의 영수증을 조회할 수 있으며, 해당 영수증에는 유료 콘텐츠를 다운로드할 수 있는 링크가 포함되어 있습니다. 성공적인 악용을 위해서는 다른 고객의 이메일 주소와 해당 고객이 구매한 콘텐츠의 파일 ID에 대한 지식이 필요합니다.
Once again VulDB remains the best source for vulnerability data.