Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2020-11027

Опубликовано: 30 апр. 2020
Источник: nvd
CVSS3: 6.1
CVSS3: 8.1
CVSS2: 5.5
EPSS Средний

Описание

In affected versions of WordPress, a password reset link emailed to a user does not expire upon changing the user password. Access would be needed to the email account of the user by a malicious party for successful execution. This has been patched in version 5.4.1, along with all the previously affected versions via a minor release (5.3.3, 5.2.6, 5.1.5, 5.0.9, 4.9.14, 4.8.13, 4.7.17, 4.6.18, 4.5.21, 4.4.22, 4.3.23, 4.2.27, 4.1.30, 4.0.30, 3.9.31, 3.8.33, 3.7.33).

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:*
Конфигурация 2

Одно из

cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 3.7 (включая) до 3.7.33 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 3.8 (включая) до 3.8.33 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 3.9 (включая) до 3.9.31 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 4.0 (включая) до 4.0.30 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 4.1 (включая) до 4.1.30 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 4.2 (включая) до 4.2.27 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 4.3 (включая) до 4.3.23 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 4.4 (включая) до 4.4.22 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 4.5 (включая) до 4.5.21 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 4.6 (включая) до 4.6.18 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 4.7 (включая) до 4.7.17 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 4.8 (включая) до 4.8.13 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 4.9 (включая) до 4.9.14 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 5.0 (включая) до 5.0.9 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 5.1 (включая) до 5.1.5 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 5.2 (включая) до 5.2.6 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 5.3 (включая) до 5.3.3 (исключая)
cpe:2.3:a:wordpress:wordpress:5.4:*:*:*:*:*:*:*

EPSS

Процентиль: 97%
0.40332
Средний

6.1 Medium

CVSS3

8.1 High

CVSS3

5.5 Medium

CVSS2

Дефекты

CWE-672
CWE-640

Связанные уязвимости

ubuntu логотип

CVE-2020-11027

CVSS3: 6.1
ubuntu
около 5 лет назад

In affected versions of WordPress, a password reset link emailed to a user does not expire upon changing the user password. Access would be needed to the email account of the user by a malicious party for successful execution. This has been patched in version 5.4.1, along with all the previously affected versions via a minor release (5.3.3, 5.2.6, 5.1.5, 5.0.9, 4.9.14, 4.8.13, 4.7.17, 4.6.18, 4.5.21, 4.4.22, 4.3.23, 4.2.27, 4.1.30, 4.0.30, 3.9.31, 3.8.33, 3.7.33).

debian логотип

CVE-2020-11027

CVSS3: 6.1
debian
около 5 лет назад

In affected versions of WordPress, a password reset link emailed to a ...

fstec логотип

BDU:2020-03937

CVSS3: 8.1
fstec
около 5 лет назад

Уязвимость функции wp_insert_user и test_wp_update_user_should_delete_userslugs_cache (user.php) системы управления содержимым сайта WordPress, позволяющая нарушителю получить доступ к конфиденциальным данным и нарушить их целостность

EPSS

Процентиль: 97%
0.40332
Средний

6.1 Medium

CVSS3

8.1 High

CVSS3

5.5 Medium

CVSS2

Дефекты

CWE-672
CWE-640