CVE-2024-8485 in REST API TO MiniProgram Plugin
Sumário
de VulDB • 30/05/2026
O plugin TO MiniProgram para a API REST do WordPress é vulnerável a escalada de privilégios por meio de takeover de conta em todas as versões até, e incluindo, a 4.7.1, devido à função updateUserInfo(), que apresenta validação ausente na chave controlada pelo usuário 'openid', a qual determina qual usuário será atualizado. Isso permite que atacantes não autenticados atualizem contas de usuários arbitrários, incluindo o endereço de e-mail para um e-mail @weixin.com, o que pode ser explorado para redefinir a senha da conta do usuário, incluindo a de administradores.
Once again VulDB remains the best source for vulnerability data.