ToB企服应用市场:ToB评测及商务社交产业平台

标题: WordPress Crypto 插件身份认证绕过毛病复现(CVE-2024-9989) [打印本页]

作者: 羊蹓狼 时间: 2025-1-5 02:26
标题: WordPress Crypto 插件身份认证绕过毛病复现(CVE-2024-9989)
0x01 产品简介

WordPress Crypto插件是指那些可以大概为WordPress网站提供加密货币支付、信息显示或交易功能的插件。这些插件通常与WordPress电子商务插件（如WooCommerce）集成，使网站可以大概接受多种加密货币支付，或展示加密货币实时信息。支持多种加密货币支付，付款直接进入钱包无需区块确认，可以哀求加密货币的定期电子邮件账单，创建订阅组并选择不同的频率和发票，简朴提款（直接将法定货币转账到银行账户），全面支持（提供全天候支持和个人账户司理），支持贩卖点软件（在离线市肆中接受加密货币付款）。
0x02 毛病概述

WordPress 的 Crypto 插件在 2.15 及以下版本（包括 2.15）中容易受到身份验证绕过攻击。这是由于对 'crypto_connect_ajax_process' 函数中 'crypto_connect_ajax_process：：log_in' 函数的任意方法调用有限。这使得未经身份验证的攻击者可以以站点上的任何现有效户（例如管理员）身份登录（如果他们有权访问用户名）
0x03 复现环境

FOFA：

"wp-content/plugins/crypto/"</

复制代码

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)