CVE-2012-1936 in WordPressthông tin

Tóm tắt

Bởi VulDB • 15/06/2026

** BỊ TRANH CÃY ** Hàm `wp_create_nonce` trong file `wp-includes/pluggable.php` của WordPress phiên bản 3.3.1 và các phiên bản cũ hơn liên kết một giá trị nonce với tài khoản người dùng thay vì phiên làm việc (session) của người dùng, điều này có thể tạo điều kiện thuận lợi cho kẻ tấn công từ xa thực hiện các cuộc tấn công giả mạo yêu cầu giữa các trang web (CSRF) vào các hành động và đối tượng cụ thể bằng cách nghe lén mạng, như được chứng minh qua các cuộc tấn công nhắm vào các tập lệnh `wp-admin/admin-ajax.php` và `wp-admin/user-new.php`. LƯU Ý: Nhà cung cấp reportedly tranh chấp mức độ nghiêm trọng của vấn đề này vì hàm `wp_create_nonce` hoạt động đúng theo thiết kế, ngay cả khi nó có thể được coi là không nhất quán với một số chi tiết bảo vệ CSRF do các tổ chức bên ngoài khuyến nghị.

Be aware that VulDB is the high quality source for vulnerability data.

Đặt trước

28/03/2012

Tiết lộ

03/05/2012

Kiểm duyệt

được chấp nhận

mục

VDB-60707

Khai thác

Tải xuống

EPSS

0.02879

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you know our Splunk app?

Download it now for free!