漏洞标题
对于WordPress <= 4.2.3的大批量帖子编辑 - 跨站请求伪造
漏洞描述信息
WordPress插件WordPress的Bulk Posts Editing For WordPress在所有版本直到4.2.3版本中都存在跨站请求伪造(Cross-Site Request Forgery, 简称CSRF)漏洞。这是由于插件的AJAX操作中缺少或错误的nonce验证所致。这意味着未经身份验证的攻击者可以通过伪造请求创建和复制帖子,获取帖子内容,并修改帖子分类等,只要他们能够诱使网站管理员执行某些操作,如点击链接即可实现。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N
漏洞类别
跨站请求伪造(CSRF)
漏洞标题
Bulk Posts Editing For WordPress <= 4.2.3 - Cross-Site Request Forgery
漏洞描述信息
The Bulk Posts Editing For WordPress plugin for WordPress is vulnerable to Cross-Site Request Forgery in all versions up to, and including, 4.2.3. This is due to missing or incorrect nonce validation on the plugin's AJAX actions.. This makes it possible for unauthenticated attackers to create and duplicate posts, retrieve post content, and modify post taxonomy among other things via a forged request granted they can trick a site administrator into performing an action such as clicking on a link.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N
漏洞类别
N/A
漏洞标题
WordPress plugin Bulk Posts Editing For WordPress 安全漏洞
漏洞描述信息
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。 WordPress plugin Bulk Posts Editing For WordPress 4.2.3 版本及之前版本存在安全漏洞,该漏洞源于插件的 AJAX 操作缺少不正确的随机数验证,导致容易受到跨站请求伪造的攻击。
CVSS信息
N/A
漏洞类别
其他