发布日期：2024-08-30
更新日期：2024-10-31

受影响系统：

WordPress WordPress Betheme theme <= 27.5.6

描述：

---

CVE(CAN) ID: CVE-2024-2694

WordPress是WordPress基金会使用PHP语言开发的博客平台，该平台支持在PHP和MySQL的服务器上架设个人博客网站，Betheme是一个应用插件。
WordPress插件Betheme 27.5.6及之前版本在对“mfn-page-items”帖子元值的不可信输入进行反序列化时存在PHP对象注入漏洞，经过身份认证的投稿者（Contributor-Level）及以上级别的攻击者利用该漏洞可注入PHP对象，若目标系统安装了额外插件或主题导致存在POP链，还能够删除任意文件、获取敏感数据或执行代码。

<**>

建议：

---

厂商补丁：

WordPress
---------
厂商尚未提供漏洞修复方案，请关注厂商主页更新：

http://wordpress.org/

浏览次数：185
严重程度：0（网友投票）