漏洞标题
N/A
漏洞描述信息
WordPress的营销优化器(Marketing Optimizer)插件在所有截止到、包含2020年9月25日版本中,都存在跨站请求伪造漏洞。这是由于缺少或验证方式错误的nonce,在通过admin/main-settings-page.php文件进行验证时出现问题。这使得未经授权的攻击者能够更新插件设置,并通过伪造的请求注入恶意JavaScript,前提是他们能够欺骗网站管理员执行某个操作,例如点击链接。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
漏洞类别
跨站请求伪造(CSRF)
漏洞标题
N/A
漏洞描述信息
The Marketing Optimizer plugin for WordPress is vulnerable to Cross-Site Request Forgery in all versions up to, and including, 20200925. This is due to missing or incorrect nonce validation via the admin/main-settings-page.php file. This makes it possible for unauthenticated attackers to update the plugin's settings and inject malicious JavaScript via a forged request granted they can trick a site administrator into performing an action such as clicking on a link.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N
漏洞类别
N/A
漏洞标题
WordPress Plugin Marketing Optimizer plugin for WordPress 安全漏洞
漏洞描述信息
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。 WordPress Plugin Marketing Optimizer plugin for WordPress 20200925 版本及之前版本存在安全漏洞,该漏洞源于都容易受到跨站请求伪造的攻击。
CVSS信息
N/A
漏洞类别
其他