ГлавнаяБаза уязвимостей БДУ → BDU:2024-02882
5средняя

BDU:2024-02882

Уязвимость функции admin_notice() плагина ProfilePress системы управления содержимым сайта WordPress, позволяющая нарушителю реализовать CSRF-атаку
Опубликовано: 2024-04-15
Описание

Уязвимость функции admin_notice() плагина ProfilePress системы управления содержимым сайта WordPress связана с подделкой межсайтовых запросов в результате некорректной проверки значения одноразового кода nonce. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, реализовать CSRF-атаку

Затрагиваемое ПО и версии
ProfilePress (до 4.13.1 включительно)
Способ устранения

Использование рекомендаций:
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/wp-user-avatar/profilepress-4131-cross-site-request-forgery-via-admin-notice
https://ru.wordpress.org/plugins/wp-user-avatar/

Оценка CVSS
Балл5 — средняя опасность
Источники и патчи
https://wpscan.com/vulnerability/bb861fee-05fb-4512-88a3-93c791a24f43/https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/wp-user-avatar/profilepress-4131-cross-site-request-forgery-via-admin-noticehttps://wpmag.ru/2015/nonces-wordpress-security/
Проверьте безопасность своего сайта и почты → Полная проверка домена