Плагин Disable Admin Notifications – Hide Dashboard Notifications для WordPress уязвим к подделке межсайтовых запросов во всех версиях до 1.4.2 включительно. Это связано с отсутствием проверки nonce в функции showPageContent(). Это позволяет неаутентифицированным злоумышленникам добавлять произвольные URL-адреса в список заблокированных перенаправлений с помощью поддельного запроса, при условии, что они могут обманом заставить администратора сайта выполнить такое действие, как нажатие на ссылку.
Показать оригинальное описание (EN)
The Disable Admin Notices – Hide Dashboard Notifications plugin for WordPress is vulnerable to Cross-Site Request Forgery in all versions up to, and including, 1.4.2. This is due to missing nonce validation in the `showPageContent()` function. This makes it possible for unauthenticated attackers to add arbitrary URLs to the blocked redirects list via a forged request granted they can trick a site administrator into performing an action such as clicking on a link.
Характеристики атаки
Последствия
Строка CVSS v3.1