WordPress 4.9.40未授权访问控制绕过漏洞分析

本文详细分析了WordPress 4.9.40版本中存在的未授权访问控制绕过漏洞,攻击者无需认证即可访问私有文章内容。报告包含漏洞时间线、严重程度评估和相关参与方信息。

Tucows (VDP) | 报告 #3371067 - 未授权访问控制绕过:私有WordPress文章泄露(过时的WordPress 4.9.40)| HackerOne

报告摘要

报告ID: #3371067
报告标题: 未授权访问控制绕过 - 私有WordPress文章泄露(过时的WordPress 4.9.40)
报告状态: 已披露
严重程度: 无评级(—)
弱点类型: 授权不当
CVE ID: 无
赏金: 无

时间线

  • 2025年10月5日, 4:10 AM UTC: 1prince1 向Tucows (VDP)提交报告
  • 8天前: h1_analyst_anya (HackerOne分类团队) 发表评论
  • 8天前: h1_analyst_cookie (HackerOne分类团队) 关闭报告并将状态改为"信息性"
  • 8天前: 1prince1 请求披露此报告
  • 8天前: jmercer-tc (Tucows (VDP)员工) 同意披露此报告
  • 8天前: 报告已被披露

报告详情

报告日期: 2025年10月5日, 4:10 AM UTC
报告者: 1prince1
报告对象: Tucows (VDP)
管理状态: 已管理
披露日期: 2025年10月14日, 8:49 PM UTC

技术说明

H1审查显示无安全影响。该漏洞涉及WordPress 4.9.40版本中的未授权访问控制绕过问题,导致私有文章内容被未经认证的用户访问。

注意: 看起来您的JavaScript已被禁用。要使用HackerOne,请在浏览器中启用JavaScript并刷新此页面。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次