WordPress plugin Custom 404 Pro 跨站请求伪造漏洞
CNNVD编号CNNVD-202301-1461
CVE编号
CVE-2023-0385
| CNVD编号 -- |
CICSVD编号 -- |
危害级别 | 漏洞类型
跨站请求伪造
|
厂商
--
| 威胁类型
远程
|
发布时间
2023-01-18
| 更新时间
2023-01-28
|
CVSS 2.0
--
|
CVSS 3.X
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N
|
漏洞来源
--
|
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。 WordPress plugin Custom 404 Pro 3.71之前版本存在跨站请求伪造漏洞,该漏洞源于对 custom_404_pro_admin_init 函数的 nonce 验证缺失或不正确。 这使得未经身份验证的攻击者可以删除日志,通过伪造的请求,他们可以欺骗站点管理员执行诸如单击链接之类的操作。