CVE-2023-3977

Опубликовано: 28 июл. 2023

Источник: nvd

CVSS3: 4.3

EPSS Низкий

Описание

Several plugins for WordPress by Inisev are vulnerable to Cross-Site Request Forgery to unauthorized installation of plugins due to a missing nonce check on the handle_installation function that is called via the inisev_installation AJAX aciton in various versions. This makes it possible for unauthenticated attackers to install plugins from the limited list via a forged request granted they can trick a site administrator into performing an action such as clicking on a link.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:backupbliss:backup_migration:*:*:*:*:*:wordpress:*:*

Версия до 1.2.8 (исключая)

cpe:2.3:a:backupbliss:clone:*:*:*:*:*:wordpress:*:*

Версия до 2.3.8 (исключая)

cpe:2.3:a:copy-delete-posts:duplicate_post:*:*:*:*:*:wordpress:*:*

Версия до 1.4.0 (исключая)

cpe:2.3:a:inisev:enhanced_text_widget:*:*:*:*:*:wordpress:*:*

Версия до 1.5.8 (исключая)

cpe:2.3:a:inisev:redirection:*:*:*:*:*:wordpress:*:*

Версия до 1.1.4 (исключая)

cpe:2.3:a:inisev:rss_redirect_\&_feedburner_alternative:*:*:*:*:*:wordpress:*:*

Версия до 3.8 (исключая)

cpe:2.3:a:inisev:ssl_mixed_content_fix:*:*:*:*:*:wordpress:*:*

Версия до 3.2.4 (исключая)

cpe:2.3:a:inisev:ultimate_posts_widget:*:*:*:*:*:wordpress:*:*

Версия до 2.2.5 (исключая)

cpe:2.3:a:mypopups:pop-up:*:*:*:*:*:wordpress:*:*

Версия до 1.2.0 (исключая)

cpe:2.3:a:ultimatelysocial:social_media_share_buttons_\&_social_sharing_icons:*:*:*:*:*:wordpress:*:*

Версия до 3.5.8 (исключая)

EPSS

Процентиль: 63%

0.00449

Низкий

4.3 Medium

CVSS3

Дефекты

Связанные уязвимости

GHSA-6jhg-gg85-9xxf