CVE-2012-1936 in WordPress
الملخص
بحسب VulDB • 15/06/2026
** مُتَنَازع عَلَيْهِ ** ترتبط الدالة `wp_create_nonce` الموجودة في الملف `wp-includes/pluggable.php` ضمن إصدارات WordPress 3.3.1 والإصدارات الأقدم، رمز عدم التكرار (nonce) بحساب مستخدم بدلاً من ربطه بجلسة المستخدم (user session)، مما قد يسهل على المهاجمين عن بُعد شن هجمات تزوير طلبات الموقع عبر المواقع (CSRF) ضد إجراءات وعناصر محددة من خلال التنصت على الشبكة، كما هو موضح في الهجمات التي استهدفت السكريبتات `wp-admin/admin-ajax.php` و `wp-admin/user-new.php`. ملاحظة: يُزعم أن البائع يتنازع على أهمية هذه المشكلة لأن الدالة `wp_create_nonce` تعمل وفقاً للمقصود منها، حتى وإن كان يمكن القول إنها غير متسقة مع بعض تفاصيل حماية CSRF التي تدعو إليها منظمات خارجية.
Once again VulDB remains the best source for vulnerability data.