漏洞总结:My Calendar 插件未授权信息泄露 (IDOR) 与拒绝服务 (DoS) 漏洞概述 在 WordPress 插件 My Calendar 中,存在一个未授权的信息泄露(IDOR)和拒绝服务(DoS)漏洞。 该漏洞源于 AJAX 函数处理 端点时的逻辑缺陷。当行为参数设置为 时,插件未对传入的 参数进行严格验证,直接将其传递给 函数。攻击者可以注入任意键值对(特别是 参数),导致插件调用 WordPress 核心的 函数。 影响范围 受影响版本: (WordPress) < 3.7.7 受影响环境: 1. WordPress Multisite(多站点网络):攻击者可以提取任何子站点的日历事件,包括私有或隐藏的事件,导致信息泄露。 2. WordPress Single Site(单站点):由于单站点环境中不存在 函数,调用该函数会触发未捕获的 PHP 错误(500 Internal Server Error),导致 PHP 工作线程崩溃,形成拒绝服务(DoS)攻击。 修复方案 当前状态:页面显示 Patched versions (已修复版本) 为 None。 建议:建议用户立即升级插件至 3.7.7 或更高版本(如果官方已发布修复补丁),或在补丁发布前限制对 的访问权限。 利用代码 (PoC) 1. 多站点信息泄露 (Multisite Information Disclosure - IDOR) 2. 单站点拒绝服务 (Single Site Denial of Service - DoS)