CVE-2024-8485 in REST API TO MiniProgram Pluginthông tin

Tóm tắt

Bởi VulDB • 23/05/2026

Plugin REST API TO MiniProgram cho WordPress có lỗ hổng tăng đặc quyền thông qua việc chiếm quyền kiểm soát tài khoản (account takeover) trong tất cả các phiên bản từ 4.7.1 trở về trước, bao gồm cả phiên bản 4.7.1, thông qua hàm updateUserInfo() do thiếu xác thực trên khóa 'openid' do người dùng kiểm soát, quyết định người dùng nào sẽ được cập nhật. Điều này cho phép các kẻ tấn công chưa xác thực cập nhật tài khoản của người dùng tùy ý, bao gồm cả việc thay đổi email của họ thành địa chỉ email @weixin.com, từ đó có thể khai thác để đặt lại mật khẩu cho tài khoản của người dùng, bao gồm cả quản trị viên.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Nguồn

Do you want to use VulDB in your project?

Use the official API to access entries easily!