wpDiscuz до версии 7.6.47 содержит уязвимость подделки межсайтовых запросов в функции getFollowsPage(), которая позволяет злоумышленникам инициировать несанкционированные действия без проверки nonce. Злоумышленники могут создавать вредоносные запросы для перечисления отношений подписки и манипулирования данными подписки пользователей, используя недостающую защиту CSRF в обработчике страницы подписки.
Показать оригинальное описание (EN)
wpDiscuz before 7.6.47 contains a cross-site request forgery vulnerability in the getFollowsPage() function that allows attackers to trigger unauthorized actions without nonce validation. Attackers can craft malicious requests to enumerate follow relationships and manipulate user follow data by exploiting the missing CSRF protection in the follows page handler.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Gvectors Wpdiscuz
cpe:2.3:a:gvectors:wpdiscuz:*:*:*:*:*:wordpress:*:*
|
— |
7.6.47
|