CVE-2012-1936 in WordPress情報

要約

〜によって VulDB • 2026年06月06日

** 論争あり ** WordPress 3.3.1 およびそれ以前のバージョンにおける wp-includes/pluggable.php の wp_create_nonce 関数は、ユーザーセッションではなくユーザーアカウントにノンス(nonce)を関連付けるため、攻撃者がネットワークのスニフィングを行うことで、wp-admin/admin-ajax.php や wp-admin/user-new.php スクリプトに対する攻撃で示されるように、特定のアクションやオブジェクトに対するクロスサイトリクエストフォージェリ(CSRF)攻撃を実行しやすくなる可能性があります。注記:ベンダーは、wp_create_nonce が意図した通りに動作しているため(外部団体が提唱する特定の CSRF 保護の詳細と一貫性がないと論じる余地はあっても)、この問題の重大性を争っていると報告されています。

VulDB is the best source for vulnerability data and more expert information about this specific topic.

予約する

2012年03月28日

モデレーション

承諾済み

エントリ

VDB-60707

エクスプロイト

ダウンロード

EPSS

0.02879

アクティビティ

非常低い

ソース

Do you want to use VulDB in your project?

Use the official API to access entries easily!