1、产品简介
BuddyPress 是WordPress 母公司的一个全新的开源程序,BuddyPress 从本质上说其实是 WordPress 的插件。BuddyPress 把 WordPress的关注点从博客转移到了社区。当然,用户还是能够使用WordPress的所有的博客功能,只是当用户使用 BuddyPress 时,第一要做的是创建他们个人档案,第二才是写博客。
2、漏洞概述
在 7.2.1 之前的 5.0.0 版本的 BuddyPress 中,非特权普通用户可以通过利用 REST API 成员端点中的问题来获得管理员权限。该漏洞已在 BuddyPress 7.2.1 中修复。插件的现有安装应更新到此版本以缓解问题。
3、影响范围
5.0.0 <BuddyPress< 7.2.1
4、复现环境
vulfocus在线靶场
5、利用流程
1、利用某大佬写的POC进行利用
项目地址:<