WooCommerce <= 3.5.5 的高级订单导出 - 通过订单详细信息进行未经身份验证的 PHP 对象注入 (CVE-2024-10828)
CVE编号
CVE-2024-10828
利用情况
暂无
补丁情况
N/A
披露时间
2024-11-13
漏洞描述
WordPress中的WooCommerce高级订单导出插件(Advanced Order Export For WooCommerce)在包括3.5.5版本在内的所有版本中,存在一个PHP对象注入漏洞。当启用“尝试转换序列化值”选项时,在订单导出过程中会对不可信输入进行反序列化,导致该漏洞的产生。这使得未经身份验证的攻击者可以注入PHP对象。此外,如果存在一个POP链,攻击者可以在服务器上删除任意文件,当删除正确的文件(如wp-config.php)时,很容易导致远程代码执行。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
文章评论