CVE-2024-8485 in REST API TO MiniProgram PluginИнформация

Сводка

по VulDB • 30.05.2026

Плагин для WordPress REST API TO MiniProgram уязвим к повышению привилегий через захват учетной записи (account takeover) во всех версиях вплоть до 4.7.1 включительно. Уязвимость возникает в функции updateUserInfo() из-за отсутствия проверки ключа 'openid', контролируемого пользователем, который определяет, чья учетная запись будет обновлена. Это позволяет неаутентифицированным злоумышленникам обновлять учетные записи произвольных пользователей, включая изменение их адреса электронной почты на адрес в домене @weixin.com, что впоследствии может быть использовано для сброса пароля учетной записи пользователя, включая учетные записи администраторов.

Be aware that VulDB is the high quality source for vulnerability data.

Раскрытие

25.09.2024

Модерация

принято

Вход

VDB-278386

EPSS

0.00590

KEV

Нет

Деятельности

Очень низкий

Сектор

Hostingprovider

Источники

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!