漏洞标题
Facebook for WordPress 3.0.0-3.0.3 - 从跨站请求伪造到存储型XSS和设置删除
漏洞描述信息
Facebook for WordPress 3.0.0-3.0.3 - 从CSRF到存储型XSS和设置删除
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
Facebook for WordPress 3.0.0-3.0.3 - CSRF to Stored XSS and Settings Deletion
漏洞描述信息
The wp_ajax_save_fbe_settings and wp_ajax_delete_fbe_settings AJAX actions of the Facebook for WordPress plugin before 3.0.4 were vulnerable to CSRF due to a lack of nonce protection. The settings in the saveFbeSettings function had no sanitization allowing for script tags to be saved.
CVSS信息
N/A
漏洞类别
跨站请求伪造(CSRF)
漏洞标题
WordPress插件 跨站请求伪造漏洞
漏洞描述信息
WordPress是Wordpress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress 插件是WordPress开源的一个应用插件。 Facebook WordPress插件 3.0.4版本之前存在跨站请求伪造漏洞,该漏洞源于Facebook WordPress插件的ajax操作由于缺乏nonce保护而容易受到CSRF的攻击。
CVSS信息
N/A
漏洞类别
跨站请求伪造