anonhaven

CVE-2025-12886

HIGH CVSS 3.1: 7,2
Обновлено 28 марта 2026
WordPress
Параметр Значение
CVSS 7,2 (HIGH)
Тип уязвимости CWE-918 (Подделка запросов на стороне сервера (SSRF))
Поставщик WordPress
Публичный эксплойт Нет

Тема Oxygen Theme для WordPress уязвима к подделке запросов на стороне сервера во всех версиях до 6.0.8 включительно через действие AJAX Laborator_calc_route. Это позволяет злоумышленникам, не прошедшим проверку подлинности, отправлять веб-запросы в произвольные места, исходящие из веб-приложения, и может использоваться для запроса и изменения информации из внутренних служб.

Показать оригинальное описание (EN)

The Oxygen Theme theme for WordPress is vulnerable to Server-Side Request Forgery in all versions up to, and including, 6.0.8 via the laborator_calc_route AJAX action. This makes it possible for unauthenticated attackers to make web requests to arbitrary locations originating from the web application and can be used to query and modify information from internal services.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-918 Server-Side Request Forgery (SSRF) (Подделка запросов на стороне сервера (SSRF))

Ссылки 2

https://documentation.laborator.co/kb/oxygen/oxygen-release-notes/
security@wordfence.com
https://www.wordfence.com/threat-intel/vulnerabilities/id/8c83f430-8a4d-40fa-89…
security@wordfence.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-1307

WordPress

6,5

CVE-2025-15445

WordPress

None

CVE-2026-4987

WordPress

7,5

CVE-2026-4248

WordPress

8,0

CVE-2026-33559

WordPress

5,1