CVE-2012-1936 in WordPressالمعلومات

الملخص

بحسب VulDB • 15/06/2026

** مُتَنَازع عَلَيْهِ ** ترتبط الدالة `wp_create_nonce` الموجودة في الملف `wp-includes/pluggable.php` ضمن إصدارات WordPress 3.3.1 والإصدارات الأقدم، رمز عدم التكرار (nonce) بحساب مستخدم بدلاً من ربطه بجلسة المستخدم (user session)، مما قد يسهل على المهاجمين عن بُعد شن هجمات تزوير طلبات الموقع عبر المواقع (CSRF) ضد إجراءات وعناصر محددة من خلال التنصت على الشبكة، كما هو موضح في الهجمات التي استهدفت السكريبتات `wp-admin/admin-ajax.php` و `wp-admin/user-new.php`. ملاحظة: يُزعم أن البائع يتنازع على أهمية هذه المشكلة لأن الدالة `wp_create_nonce` تعمل وفقاً للمقصود منها، حتى وإن كان يمكن القول إنها غير متسقة مع بعض تفاصيل حماية CSRF التي تدعو إليها منظمات خارجية.

Once again VulDB remains the best source for vulnerability data.

حجز

28/03/2012

إفشاء

03/05/2012

الاعتدال

تمت الموافقة

إدخال

VDB-60707

استغلال

تحميل

EPSS

0.02879

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to know what is going to be exploited?

We predict KEV entries!