漏洞信息
# 用户注册与会员PRO - 自定义注册表单,登录表单和用户个人资料<=5.1.3 -跨站请求伪造导致用户删除
## 漏洞概述
User Registration & Membership插件存在跨站请求伪造(Cross-Site Request Forgery,CSRF)漏洞。
## 影响版本
所有版本到及包括5.1.3
## 细节
该漏洞是由于`user_registration_pro_delete_account()`函数中缺少或错误的nonce验证。这使得未认证的攻击者可以通过伪造请求强制删除用户(包括管理员),只要他们能够诱使站点管理员执行某些操作(如点击链接)。
## 影响
此漏洞允许未认证的攻击者通过诱导站点管理员点击恶意链接来删除任意用户,包括管理员账户。
备注
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
User Registration & Membership PRO – Custom Registration Form, Login Form, and User Profile <= 5.1.3 - Cross-Site Request Forgery to User Deletion
漏洞描述信息
The User Registration & Membership – Custom Registration Form, Login Form, and User Profile plugin for WordPress is vulnerable to Cross-Site Request Forgery in all versions up to, and including, 5.1.3. This is due to missing or incorrect nonce validation on the user_registration_pro_delete_account() function. This makes it possible for unauthenticated attackers to force delete users, including administrators, via a forged request granted they can trick a site administrator into performing an action such as clicking on a link.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N
漏洞类别
跨站请求伪造(CSRF)