首页 网络安全 正文
  • 本文约697字,阅读需3分钟
  • 303
  • 0

WordPress Event Tickets和Ticket Scanner漏洞CVE-2024-52427

摘要

栋科技漏洞库关注到WordPress Event Tickets with Ticket Scanner Plugin被披露一个远程代码执行漏洞,漏洞被追踪为CVE-2024-52427。

WordPress是一套基于PHP语言的博客平台,该平台支持在PHP和MySQL服务器上架设个人博客网站,WordPress plugin是一个应用插件。

WordPress Event Tickets with Ticket Scanner Plugin是WordPress中一个票证系统插件,该插件可以很轻松的与WooCommerce产品集成。

一、基本情况

WordPress网站主可以利用该插件生成一个安全的票号并将它们添加到发给客户的邮件中,也可生成一个含机票信息和二维码的PDF文件。

内置的门票扫描仪允许WordPress网站主通过扫描二维码兑换门票,也可通过使用“票据扫描仪”页面文本输入字段来使用外部键盘扫描仪。

WordPress Event Tickets和Ticket Scanner漏洞CVE-2024-52427

栋科技漏洞库关注到WordPress Event Tickets with Ticket Scanner Plugin被披露一个远程代码执行漏洞,漏洞被追踪为CVE-2024-52427。

二、漏洞分析

CVE-2024-52427插件源于Event Tickets with Ticket Scanner 插件中Saso Nikolov事件票证中模板引擎漏洞中使用的特殊元素的不正确中和。

该漏洞允许服务器端包含(SSI)注入,从而导致远程代码执行(RCE)漏洞的发生,该漏洞影响2.3.11以下版本,漏洞的CVSS评分为9.8。

三、漏洞影响

WordPress Event Tickets with Ticket Scanner Plugin <= 2.3.11

四、修复建议

WordPress Event Tickets with Ticket Scanner Plugin >= 2.3.12

五、参考链接

https://cn.wordpress.org/plugins/event-tickets-with-ticket-scanner/

标签:网络安全栋科技漏洞库WordPress
评论
更换验证码
友情链接