wpDiscuz до версии 7.6.47 содержит уязвимость подделки межсайтовых запросов, которая позволяет злоумышленникам удалять все комментарии, связанные с адресом электронной почты, путем создания вредоносного запроса GET с действительным ключом HMAC. Злоумышленники могут встроить URL-адрес действия удаления комментариев в теги изображений или другие ресурсы, чтобы инициировать окончательное удаление комментариев без подтверждения пользователя или защиты CSRF на основе POST.
Показать оригинальное описание (EN)
wpDiscuz before 7.6.47 contains a cross-site request forgery vulnerability that allows attackers to delete all comments associated with an email address by crafting a malicious GET request with a valid HMAC key. Attackers can embed the deletecomments action URL in image tags or other resources to trigger permanent deletion of comments without user confirmation or POST-based CSRF protection.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Gvectors Wpdiscuz
cpe:2.3:a:gvectors:wpdiscuz:*:*:*:*:*:wordpress:*:*
|
— |
7.6.47
|