anonhaven

CVE-2026-28556

MEDIUM CVSS 4.0: 5,3 EPSS 0.03%
Обновлено 28 февраля 2026
wpForo
Параметр Значение
CVSS 5,3 (MEDIUM)
Тип уязвимости CWE-862 (Отсутствие авторизации)
Поставщик wpForo
Публичный эксплойт Нет

wpForo Forum 2.4.14 содержит уязвимость отсутствия авторизации, которая позволяет аутентифицированным подписчикам перемещать, объединять или разделять любую тему форума с помощью обработчиков действий формы theme_move, theme_merge и theme_split. Злоумышленники с допустимой формой nonce могут реорганизовать произвольное содержимое форума без разрешения модератора, включая перемещение тем на частные форумы.

Показать оригинальное описание (EN)

wpForo Forum 2.4.14 contains a missing authorization vulnerability that allows authenticated subscribers to move, merge, or split any forum topic via the topic_move, topic_merge, and topic_split form action handlers. Attackers with a valid form nonce can reorganize arbitrary forum content without moderator permissions, including relocating topics to private forums.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-862 Missing Authorization (Отсутствие авторизации)

Ссылки 3

https://wordpress.org/plugins/wpforo/
disclosure@vulncheck.com
https://wordpress.org/plugins/wpforo/#developers
disclosure@vulncheck.com
https://www.vulncheck.com/advisories/wpforo-forum-missing-authorization-via-top…
disclosure@vulncheck.com
Share Post Share Share Share