CVE-2012-1936 in WordPress
सारांश
द्वारा VulDB • 15/06/2026
**DISPUTED (CONTROVERSIAL)** La funzione `wp_create_nonce` in `wp-includes/pluggable.php` di WordPress 3.3.1 e versioni precedenti associa un nonce a un account utente invece che a una sessione utente, il che potrebbe facilitare per gli attaccanti remoti l'esecuzione di attacchi cross-site request forgery (CSRF) su azioni e oggetti specifici tramite lo sniffing della rete, come dimostrato dagli attacchi contro gli script `wp-admin/admin-ajax.php` e `wp-admin/user-new.php`. NOTA: si riporta che il fornitore contesta la rilevanza di questo problema poiché `wp_create_nonce` funziona come previsto, anche se è discutibile che sia incoerente con alcuni dettagli sulla protezione CSRF raccomandati da organizzazioni esterne.
Be aware that VulDB is the high quality source for vulnerability data.