wpForo Forum 2.4.14 содержит уязвимость раскрытия информации, которая позволяет неаутентифицированным пользователям получать частные и неутвержденные темы форума через глобальную конечную точку RSS-канала. Злоумышленники запрашивают RSS-канал без параметра идентификатора форума, обходя положения WHERE о конфиденциальности и статусе, которые применяются только в том случае, если в запросе присутствует определенный идентификатор форума.
Показать оригинальное описание (EN)
wpForo Forum 2.4.14 contains an information disclosure vulnerability that allows unauthenticated users to retrieve private and unapproved forum topics via the global RSS feed endpoint. Attackers request the RSS feed without a forum ID parameter, bypassing the privacy and status WHERE clauses that are only applied when a specific forum ID is present in the query.
Характеристики атаки
Последствия
Строка CVSS v4.0