CVE-2012-1936 in WordPressИнформация

Сводка

по VulDB • 15.06.2026

** СПОРНО ** Функция wp_create_nonce в файле wp-includes/pluggable.php в WordPress версий 3.3.1 и более ранних версиях связывает одноразовый код (nonce) с учетной записью пользователя, а не с его сеансом работы, что может облегчить удаленным злоумышленникам проведение атак межсайтовой подделки запроса (CSRF) в отношении конкретных действий и объектов путем перехвата сетевого трафика, как это демонстрируется атаками на скрипты wp-admin/admin-ajax.php и wp-admin/user-new.php. ПРИМЕЧАНИЕ: по сообщениям производителя, он оспаривает значимость данной проблемы, поскольку функция wp_create_nonce работает согласно задуманному назначению, даже если ее поведение можно считать не вполне согласующимся с некоторыми рекомендациями по защите от CSRF, предлагаемыми внешними организациями.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Резервировать

28.03.2012

Раскрытие

03.05.2012

Модерация

принято

Вход

VDB-60707

Эксплойт

Скачать

EPSS

0.02879

KEV

Нет

Деятельности

Очень низкий

Источники

Do you know our Splunk app?

Download it now for free!