CVE-2012-1936 in WordPressinformazioni

Riassunto

di VulDB • 15/06/2026

** CONTROVERSO ** La funzione `wp_create_nonce` in `wp-includes/pluggable.php` di WordPress 3.3.1 e versioni precedenti associa un nonce a un account utente anziché a una sessione utente, il che potrebbe facilitare per gli attaccanti remoti l'esecuzione di attacchi cross-site request forgery (CSRF) su azioni e oggetti specifici tramite lo sniffing della rete, come dimostrato dagli attacchi contro gli script `wp-admin/admin-ajax.php` e `wp-admin/user-new.php`. NOTA: il fornitore contesterebbe la rilevanza di questo problema poiché `wp_create_nonce` funziona come previsto, anche se è discutibile che sia incoerente con alcuni dettagli sulla protezione CSRF raccomandati da organizzazioni esterne.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Prenotare

28/03/2012

Divulgazione

03/05/2012

Moderazione

accettato

CPE

pronto

Sfruttamento

Scaricare

EPSS

0.02879

KEV

no

Attività

molto basso

Fonti

Want to stay up to date on a daily basis?

Enable the mail alert feature now!