发布日期：2024-08-30
更新日期：2024-10-31

受影响系统：

WordPress Events Calendar Pro

描述：

---

CVE(CAN) ID: CVE-2024-8016

WordPress是WordPress基金会使用PHP语言开发的博客平台，该平台支持在PHP和MySQL的服务器上架设个人博客网站，Events Calendar Pro是其中的一个插件。
WordPress插件Events Calendar Pro 7.0.2及之前版本在对小部件中“filters”参数不可信输入进行反序列化时存在PHP对象注入漏洞，经过身份认证、具有管理员级别及以上访问权限的攻击者可以注入PHP对象，若还存在POP链，则能远程执行代码，在某些配置下，这可能会被低级别用户利用（已确认该插件与Elementor同时安装时，具有投稿者级别及以上访问权限的用户能够利用此问题）。

<**>

建议：

---

厂商补丁：

WordPress
---------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/events-calendar-pro/the-events-calendar-pro-702-authenticated-administrator-php-object-injection-to-remote-code-execution

浏览次数：145
严重程度：0（网友投票）