Если функция защиты от спама-капчи в PluXml версий 5.8.22 и более ранних включена, запрос капчи генерируется в формате, который может быть автоматически распознан для статей, так что автоматический сценарий может тривиально решить этот механизм защиты от спама и публиковать спам-комментарии. Подробности проверки капчи представлены в тексте документа статей с комментариями и включенными функциями защиты от спама-капчи, включая «капчу-букву», «капчу-слово» и «капчу-токен», которые можно использовать для создания действительного запроса на публикацию комментария. Таким образом, злоумышленники могут наводнить статьи автоматическими спам-комментариями, особенно если нет других доступных веб-защит.
Показать оригинальное описание (EN)
If the anti spam-captcha functionality in PluXml versions 5.8.22 and earlier is enabled, a captcha challenge is generated with a format that can be automatically recognized for articles, such that an automated script is able to solve this anti-spam mechanism trivially and publish spam comments. The details of captcha challenge are exposed within document body of articles with comments & anti spam-captcha functionalities enabled, including "capcha-letter", "capcha-word" and "capcha-token" which can be used to construct a valid post request to publish a comment. As such, attackers can flood articles with automated spam comments, especially if there are no other web defenses available.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Pluxml Pluxml
cpe:2.3:a:pluxml:pluxml:*:*:*:*:*:*:*:*
|
— |
<= 5.8.22
|