漏洞标题
N/A
漏洞描述信息
WordPress上的Button Widget Smartsoft插件在版本1.0.1及更高版本中存在跨站点请求伪造的安全风险。这主要是由于smartsoftbutton_settings页面缺少重定向验证。这使得未验证的攻击者可以通过伪造请求来更新插件设置并注入恶意网页脚本。如果攻击者能 trick网站管理员执行诸如点击链接等操作,那么这种漏洞就非常重要。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The Button Widget Smartsoft plugin for WordPress is vulnerable to Cross-Site Request Forgery in versions up to, and including, 1.0.1. This is due to missing nonce validation on the smartsoftbutton_settings page. This makes it possible for unauthenticated attackers to update the plugins settings and inject malicious web scripts via a forged request granted they can trick a site administrator into performing an action such as clicking on a link.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
WordPress plugin Button Widget Smartsoft 跨站请求伪造漏洞
漏洞描述信息
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。 WordPress plugin Button Widget Smartsoft 1.0.1及之前的版本存在安全漏洞,该漏洞源于smartsoftbutton_settings 页面上缺少随机数验证,攻击者利用该漏洞可以将恶意 Web 脚本注入到页面中,诱骗网
CVSS信息
N/A
漏洞类别
跨站请求伪造