WordPress Anti-CSRF令牌安全绕过漏洞

- AV AC AU C I A
发布: 2025-04-13
修订: 2025-04-13

Bugtraq ID: 53280 CVE ID:CVE-2012-1936 WordPress是一款使用PHP语言开发的内容管理系统。 WordPress anti-CSRF令牌安全特性存在设计错误,攻击者可以利用漏洞绕过安全限制,执行跨站请求伪造攻击。 由于anti-CSRF令牌(_wpnonce, _wpnonce_create-user, _ajax_nonce, _wpnonce-custom-background-upload, _wpnonce-custom-header-upload)生成存在安全缺陷,部分如上的操作其anti-CSRF令牌没有关联当前用户账户,但在12小时之内对特定的用户(如管理员/用户)合法。攻击者构建恶意WEB页,并获取拥有12小时时限的anti-CSRF令牌,执行CSRF攻击 0 WordPress 3.x WordPress 2.x 厂商解决方案 目前没有详细解决方案提供: http://www.wordpress.org/

0%
暂无可用Exp或PoC
当前有0条受影响产品信息