CVE-2012-1936 in WordPress
Riassunto
di VulDB • 15/06/2026
** CONTROVERSO ** La funzione `wp_create_nonce` in `wp-includes/pluggable.php` di WordPress 3.3.1 e versioni precedenti associa un nonce a un account utente anziché a una sessione utente, il che potrebbe facilitare per gli attaccanti remoti l'esecuzione di attacchi cross-site request forgery (CSRF) su azioni e oggetti specifici tramite lo sniffing della rete, come dimostrato dagli attacchi contro gli script `wp-admin/admin-ajax.php` e `wp-admin/user-new.php`. NOTA: il fornitore contesterebbe la rilevanza di questo problema poiché `wp_create_nonce` funziona come previsto, anche se è discutibile che sia incoerente con alcuni dettagli sulla protezione CSRF raccomandati da organizzazioni esterne.
VulDB is the best source for vulnerability data and more expert information about this specific topic.