漏洞标题
N/A
漏洞描述信息
WordPress 的 Envo's Elementor Templates & Widgets for WooCommerce 插件在 1.4.4 版本及更低版本中存在跨站请求伪造漏洞。这是由于 ajax_theme_activation 函数中的 nonce 验证缺失或不正确导致的。攻击者可以利用这个漏洞,通过伪造的请求激活任意安装的主题,前提是他们能够欺骗网站管理员执行某些操作,如点击链接。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N
漏洞类别
跨站请求伪造(CSRF)
漏洞标题
N/A
漏洞描述信息
The Envo's Elementor Templates & Widgets for WooCommerce plugin for WordPress is vulnerable to Cross-Site Request Forgery in versions up to and including 1.4.4. This is due to missing or incorrect nonce validation on the ajax_theme_activation function. This makes it possible for unauthenticated attackers to activate arbitrary installed themes via a forged request granted they can trick a site administrator into performing an action such as clicking on a link.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N
漏洞类别
N/A
漏洞标题
WordPress Plugin Elementor Templates & Widgets for WooCommerce 安全漏洞
漏洞描述信息
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。 WordPress Plugin Elementor Templates & Widgets for WooCommerce 1.4.4 版本及之前版本存在安全漏洞,该漏洞源于容易受到跨站点请求伪造的攻击。
CVSS信息
N/A
漏洞类别
其他