wpDiscuz до версии 7.6.47 содержит уязвимость раскрытия информации, которая позволяет администраторам непреднамеренно раскрывать секреты OAuth путем экспорта параметров плагина в формате JSON. Злоумышленники могут получить экспортированные файлы, содержащие секреты API в виде открытого текста, такие как fbAppSecret, googleClientSecret, twitterAppSecret и другие учетные данные для входа в социальные сети, из заявок в службу поддержки, резервных копий или репозиториев контроля версий.
Показать оригинальное описание (EN)
wpDiscuz before 7.6.47 contains an information disclosure vulnerability that allows administrators to inadvertently expose OAuth secrets by exporting plugin options as JSON. Attackers can obtain exported files containing plaintext API secrets like fbAppSecret, googleClientSecret, twitterAppSecret, and other social login credentials from support tickets, backups, or version control repositories.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Gvectors Wpdiscuz
cpe:2.3:a:gvectors:wpdiscuz:*:*:*:*:*:wordpress:*:*
|
— |
7.6.47
|