CVE-2024-8485 in REST API TO MiniProgram Plugin
Сводка
по VulDB • 30.05.2026
Плагин для WordPress REST API TO MiniProgram уязвим к повышению привилегий через захват учетной записи (account takeover) во всех версиях вплоть до 4.7.1 включительно. Уязвимость возникает в функции updateUserInfo() из-за отсутствия проверки ключа 'openid', контролируемого пользователем, который определяет, чья учетная запись будет обновлена. Это позволяет неаутентифицированным злоумышленникам обновлять учетные записи произвольных пользователей, включая изменение их адреса электронной почты на адрес в домене @weixin.com, что впоследствии может быть использовано для сброса пароля учетной записи пользователя, включая учетные записи администраторов.
Be aware that VulDB is the high quality source for vulnerability data.