CVE-2024-11844丨IdeaPush <= 8.71 - 缺少删除董事会条款的授权

IdeaPush <= 8.71 - 缺少删除董事会条款的授权 (CVE-2024-11844) CVE编号 CVE-2024-11844 利用情况 暂无 补丁情况 N/A 披露时间 2024-12-03 漏洞描述 WordPress的IdeaPush插件存在数据未经授权修改的风险，这是由于在idea_push_taxonomy_save_routine函数中缺少权限检查，所有版本至8.71（含）均受影响。这使得拥有订阅者级别及以上访问权限的认证攻击者有可能删除“boards”分类的术语。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接 https://plugins.trac.wordpress.org/browser/ideapush/trunk/ideapush.php#L766 https://plugins.trac.wordpress.org/changeset/3198488/ideapush/trunk/ideapush.php https://www.wordfence.com/threat-intel/vulnerabilities/id/34603c3f-834f-4a2a-...