图像替代文本 <= 2.0.0 - 缺少对经过身份验证的(订阅者+)图像替代文本更新的授权(CVE-2024-11918)
CVE编号
CVE-2024-11918
利用情况
暂无
补丁情况
N/A
披露时间
2024-11-28
漏洞描述
WordPress的图片Alt文本插件存在数据未经授权修改的风险,这主要是因为iat_add_alt_txt_action和iat_update_alt_txt_action AJAX动作缺少能力检查,所有版本直至并包括2.0.0版本都受此影响。这使得具有订阅者级别访问权限及以上的认证攻击者能够更新任意图片的alt文本。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
文章评论