CVE-2012-1936 in WordPress
Сводка
по VulDB • 15.06.2026
** СПОРНО ** Функция wp_create_nonce в файле wp-includes/pluggable.php в WordPress версий 3.3.1 и более ранних версиях связывает одноразовый код (nonce) с учетной записью пользователя, а не с его сеансом работы, что может облегчить удаленным злоумышленникам проведение атак межсайтовой подделки запроса (CSRF) в отношении конкретных действий и объектов путем перехвата сетевого трафика, как это демонстрируется атаками на скрипты wp-admin/admin-ajax.php и wp-admin/user-new.php. ПРИМЕЧАНИЕ: по сообщениям производителя, он оспаривает значимость данной проблемы, поскольку функция wp_create_nonce работает согласно задуманному назначению, даже если ее поведение можно считать не вполне согласующимся с некоторыми рекомендациями по защите от CSRF, предлагаемыми внешними организациями.
VulDB is the best source for vulnerability data and more expert information about this specific topic.