漏洞关键信息总结 漏洞概述 CVE编号: CVE-2023-5713 漏洞名称: System Dashboard – Broken Logical Control to Mail Box password Thief 严重等级: Very High (非常高) 描述: 在 插件中发现了一个逻辑控制破坏漏洞。该漏洞允许用户(即使是权限较低的“Subscriber”角色)发起AJAX请求,从而获取敏感信息。泄露的数据包括存储在数据库中的登录凭据、与电子邮件账户关联的密码、 输出以及关于Web应用程序的综合信息。 影响范围 受影响插件: System Dashboard 受影响版本: <= 2.8.7 活跃安装量: 1000+ 公开披露时间: 2024年1月1日 修复方案 1. 基于角色的访问控制 (RBAC): 实施严格的RBAC机制,确保每个用户角色仅根据其职责限制访问权限。 2. AJAX请求身份验证: 为AJAX请求实施强大的身份验证机制,确保只有授权用户才能访问敏感功能。 3. 定期安全审计: 定期对插件代码进行安全审计,识别并纠正与逻辑控制相关的漏洞。 4. 用户输入验证: 实施严格的输入验证和清理,防止注入攻击和未经授权的访问。 5. 安全补丁: 及时发布并应用安全补丁以解决发现的漏洞。 POC 代码