CVE-2023-0766

Newsletter popup sérülékenysége
Angol cím: Newsletter popup vulnerability

Publikálás dátuma: 2023.05.30.
Utolsó módosítás dátuma: 2023.06.05.


Leírás

Cross-Site Request Forgery (CSRF): A webalkalmazás nem ellenőrzi, vagy nem tudja megfelelően megvizsgálni, hogy a kérést szándékosan küdte-e a felhasználó.

Leírás forrása: CWE-352


Elemzés leírás

Eredeti nyelven: The Newsletter Popup WordPress plugin through 1.2 does not have CSRF checks in some places, which could allow attackers to make logged in users perform unwanted actions via CSRF attacks as the wp_newsletter_show_localrecord page is not protected with a nonce.

Elemzés leírás forrása: CVE-2023-0766


Hatás

CVSS3.1 Súlyosság és Metrika

Alap pontszám: 8.8 (Magas)
Vektor: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Hatás pontszáma: 5.9
Kihasználhatóság pontszáma: 2.8


Támadás Vektora (AV): Hálózat
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Nincs
Felhasználói Interakció (UI): Szükséges
Hatókör (S): Nem változott
Bizalmasság Hatása (C): Magas
Sértetlenség Hatása (I): Magas
Rendelkezésre állás Hatása (A): Magas

Következmények

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Hivatkozások

wpscan.com

Sérülékeny szoftverek

newsletter popup project / newsletter popup

Címkék

WordPress


Legfrissebb sérülékenységek
CVE-2024-27957 – Pie Register sérülékenysége
CVE-2024-25153 – Fortra FileCatalyst sérülékenysége
CVE-2023-36554 – Fortinet FortiManager sérülékenysége
CVE-2023-42789 – Fortinet FortiOS sérülékenysége
CVE-2023-47534 – Fortinet FortiClientEMS sérülékenysége
CVE-2023-48788 – Fortinet FortiClientEMS sérülékenysége
CVE-2024-22256 – VMware Cloud Director sérülékenysége
CVE-2024-20338 – Cisco Secure Client sérülékenysége
CVE-2024-20337 – Cisco Secure Client sérülékenysége
CVE-2024-23296 – iOS, iPadOS sérülékenysége
Tovább a sérülékenységekhez »