Lucene search
RootSSV:60087HistoryMay 02, 2012 - 12:00 a.m.
WordPress Anti-CSRF令牌安全绕过漏洞
2012-05-0200:00:00
Root
www.seebug.org
40
EPSS
0.007
Percentile
80.4%
Bugtraq ID: 53280
CVE ID:CVE-2012-1936
WordPress是一款使用PHP语言开发的内容管理系统。
WordPress anti-CSRF令牌安全特性存在设计错误,攻击者可以利用漏洞绕过安全限制,执行跨站请求伪造攻击。
由于anti-CSRF令牌(_wpnonce, _wpnonce_create-user, _ajax_nonce,
_wpnonce-custom-background-upload, _wpnonce-custom-header-upload)生成存在安全缺陷,部分如上的操作其anti-CSRF令牌没有关联当前用户账户,但在12小时之内对特定的用户(如管理员/用户)合法。攻击者构建恶意WEB页,并获取拥有12小时时限的anti-CSRF令牌,执行CSRF攻击
0
WordPress 3.x
WordPress 2.x
厂商解决方案
目前没有详细解决方案提供:
http://www.wordpress.org/
Related
prion
prion
Cross site request forgery (csrf)
2012-05-03 20:55:00
zdt
zdt
Wordpress 3.3.1 Multiple CSRF Vulnerabilities
2012-03-19 00:00:00
seebug
seebug
Wordpress 3.3.1 - Multiple CSRF Vulnerabilities
2014-07-01 00:00:00
packetstorm
packetstorm
WordPress 3.3.1 Cross Site Request Forgery
2012-04-26 00:00:00
nvd
nvd
CVE-2012-1936
2012-05-03 20:55:03
patchstack
patchstack
WordPress 3.3.1 - Multiple CSRF Vulnerabilities
2012-04-27 00:00:00
cvelist
cvelist
CVE-2012-1936
2012-05-03 20:00:00
exploitdb
exploitdb
WordPress Core 3.3.1 - Multiple Cross-Site Request Forgery Vulnerabilities
2012-04-27 00:00:00
cve
cve
CVE-2012-1936
2012-05-03 20:55:03
exploitpack
exploitpack
WordPress 3.3.1 - Multiple Cross-Site Request Forgery Vulnerabilities
2012-04-27 00:00:00
nessus
nessus
WordPress < 3.3.2 Multiple Vulnerabilities
2012-05-09 00:00:00