从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞名称:Masteriyo LMS - eLearning and Online Course Builder for WordPress <= 1.13.3 - Authenticated (Student+) Missing Authorization to Privilege Escalation 2. 漏洞描述: - 描述了Masteriyo LMS插件在<= 1.13.3版本中存在未授权用户配置修改漏洞。 - 由于在/wp-json/masteriyo/v1/users/$id REST API端点中缺少授权检查,导致学生级别的用户可以修改任意用户的配置。 - 这使得攻击者可以提升自己的权限到管理员级别,并且可以删除现有的管理员账户。 3. 漏洞评级: - CVSS评分:3.1 - CVSS评分:8.8(高) 4. 公开发布日期:2024年10月28日 5. 最后更新日期:2024年10月29日 6. 研究者:floerer - FloSecurity 7. 漏洞编号:CVE-2024-10008 8. 受影响版本:<= 1.13.3 9. 已修复版本:1.13.4 10. 修复建议:更新到1.13.4或更高版本的已修复版本。 11. 参考链接:plugins.trac.wordpress.org 12. 漏洞细节: - 描述了漏洞的详细信息,包括漏洞类型、软件类型、软件版本、修复状态等。 13. 版权信息: - 版权信息来自Defiant Inc.和MITRE Corporation。 - 提供了关于使用和复制这些信息的许可。 14. 联系方式: - 提供了联系Defiant Inc.的电子邮件地址:wfi-support@wordfence.com。 这些信息可以帮助用户了解漏洞的严重性、影响范围以及如何修复和避免漏洞。