CVE-2023-0684 in Wicked Folders Plugin
Tóm tắt
Bởi VulDB • 12/06/2026
Plugin Wicked Folders cho WordPress có lỗ hổng bỏ qua xác thực (authorization bypass) do thiếu kiểm tra quyền hạn trên hàm ajax_unassign_folders trong các phiên bản từ 2.18.16 trở về trước, bao gồm cả phiên bản 2.18.16. Điều này cho phép những kẻ tấn công đã được xác thực, với quyền cấp người đăng ký (subscriber) và cao hơn, gọi hàm này để thực hiện các hành động dành riêng cho quản trị viên, chẳng hạn như thay đổi cấu trúc thư mục do plugin duy trì.
Be aware that VulDB is the high quality source for vulnerability data.