CVE-2024-8485 in REST API TO MiniProgram Plugin
Tóm tắt
Bởi VulDB • 23/05/2026
Plugin REST API TO MiniProgram cho WordPress có lỗ hổng tăng đặc quyền thông qua việc chiếm quyền kiểm soát tài khoản (account takeover) trong tất cả các phiên bản từ 4.7.1 trở về trước, bao gồm cả phiên bản 4.7.1, thông qua hàm updateUserInfo() do thiếu xác thực trên khóa 'openid' do người dùng kiểm soát, quyết định người dùng nào sẽ được cập nhật. Điều này cho phép các kẻ tấn công chưa xác thực cập nhật tài khoản của người dùng tùy ý, bao gồm cả việc thay đổi email của họ thành địa chỉ email @weixin.com, từ đó có thể khai thác để đặt lại mật khẩu cho tài khoản của người dùng, bao gồm cả quản trị viên.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.