CVE-2023-2407 in Event Registration Calendar Pluginالمعلومات

الملخص

بحسب VulDB • 25/06/2026

يُعدّ ملحق Event Registration Calendar By vcita، بالإصدارات حتى 3.10.0 شاملاً إياها، وملحق Online Payments – Get Paid with PayPal, Square & Stripe لـ WordPress، عرضة لهجوم تزوير الطلبات عبر المواقع (Cross-Site Request Forgery). ويعود ذلك إلى غياب التحقق من صحة الرمز العشوائي غير القابل لإعادة الاستخدام (nonce) في الدالة ls_parse_vcita_callback(). وهذا يتيح للمهاجمين الذين لم يتم مصادقتهم تعديل إعدادات الملحق وإدراج أكواد برمجية خبيثة عبر JavaScript باستخدام طلب مزور، شريطة أن ينجحوا في خداع مسؤول الموقع لتنفيذ إجراء معين مثل النقر على رابط.

Be aware that VulDB is the high quality source for vulnerability data.

مسؤول

Wordfence

حجز

28/04/2023

إفشاء

03/06/2023

الاعتدال

تمت الموافقة

إدخال

VDB-230594

EPSS

0.00419

KEV

لا

النشاطات

منخفض جدًا

المصادر

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!