关键漏洞信息 描述 描述: - 插件在未进行能力检查或nonce校验的情况下暴露了经过身份验证的AJAX操作,允许低权限用户删除插件数据。 影响插件 插件名称: Bookingor 状态: 尚无已知修复 分类 类型: 无授权操作 OWASP Top 10: A5: 破坏访问控制 CWE: CWE-862 CVSS: 4.3 (中等) 附加信息 原始研究员: Khaled Alenazi (Nxploited) 提交者: Khaled Alenazi (Nxploited) 验证状态: 已验证 WPVDB ID: b6198d76-813c-4f13-8b3d-b4609095ae34 时间线 公开发布: 2025-12-29 (约28天前) 添加: 2025-12-22 (约1个月前) 最后更新: 2025-12-22 (约1个月前) 其他相关漏洞 2025-09-09: NitroPack < 1.18.5 - 缺少身份验证的(订阅者+)有限设置更新,通过nitropack_set_compression_ajax函数 2024-07-31: AdFoxly - Ad Manager, AdSense Ads & Ads.txt <= 1.8.5 - 缺少身份验证的未授权Ad状态更新 2024-08-01: WP Social Feed Gallery < 4.4.0 - 缺少身份验证 2025-12-15: WCFM - Frontend Manager for WooCommerce <= 6.7.21 - 缺少身份验证 2025-09-22: Classic Widgets with Block-based Widgets <= 1.0.1 - 缺少身份验证