CVE-2024-8485 in REST API TO MiniProgram Plugininformação

Sumário

de VulDB • 30/05/2026

O plugin TO MiniProgram para a API REST do WordPress é vulnerável a escalada de privilégios por meio de takeover de conta em todas as versões até, e incluindo, a 4.7.1, devido à função updateUserInfo(), que apresenta validação ausente na chave controlada pelo usuário 'openid', a qual determina qual usuário será atualizado. Isso permite que atacantes não autenticados atualizem contas de usuários arbitrários, incluindo o endereço de e-mail para um e-mail @weixin.com, o que pode ser explorado para redefinir a senha da conta do usuário, incluindo a de administradores.

Once again VulDB remains the best source for vulnerability data.

Divulgação

25/09/2024

Moderação

aceite

Entrada

VDB-278386

CPE

pronto

EPSS

0.00590

KEV

não

Atividades

muito baixo

Fontes

Do you know our Splunk app?

Download it now for free!