VULHUB ™

Bugtraq ID: 53280 CVE ID：CVE-2012-1936 WordPress是一款使用PHP语言开发的内容管理系统。 WordPress anti-CSRF令牌安全特性存在设计错误，攻击者可以利用漏洞绕过安全限制，执行跨站请求伪造攻击。 由于anti-CSRF令牌(_wpnonce, _wpnonce_create-user, _ajax_nonce, _wpnonce-custom-background-upload, _wpnonce-custom-header-upload)生成存在安全缺陷，部分如上的操作其anti-CSRF令牌没有关联当前用户账户，但在12小时之内对特定的用户(如管理员/用户)合法。攻击者构建恶意WEB页，并获取拥有12小时时限的anti-CSRF令牌，执行CSRF攻击 0 WordPress 3.x WordPress 2.x 厂商解决方案 目前没有详细解决方案提供： http://www.wordpress.org/

Bugtraq ID: 53280 CVE ID：CVE-2012-1936 WordPress是一款使用PHP语言开发的内容管理系统。 WordPress anti-CSRF令牌安全特性存在设计错误，攻击者可以利用漏洞绕过安全限制，执行跨站请求伪造攻击。 由于anti-CSRF令牌(_wpnonce, _wpnonce_create-user, _ajax_nonce, _wpnonce-custom-background-upload, _wpnonce-custom-header-upload)生成存在安全缺陷，部分如上的操作其anti-CSRF令牌没有关联当前用户账户，但在12小时之内对特定的用户(如管理员/用户)合法。攻击者构建恶意WEB页，并获取拥有12小时时限的anti-CSRF令牌，执行CSRF攻击 0 WordPress 3.x WordPress 2.x 厂商解决方案 目前没有详细解决方案提供： http://www.wordpress.org/