Katalog CVE

CVE-2016-20074

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.11%

Percentyl 1 — wyżej niż 1% wszystkich znanych CVE

Streszczenie

Wtyczka WordPress Lazy Content Slider w wersji 3.4 zawiera podatność na atak typu cross-site request forgery (CSRF), która umożliwia atakującym wykonywanie nieautoryzowanych działań poprzez tworzenie złośliwych formularzy HTML.

Ocena ryzyka

Atakujący mogą oszukać uwierzytelnionych administratorów, aby wysyłali żądania POST do strony ustawień wtyczki, co może prowadzić do nieautoryzowanej modyfikacji parametrów konfiguracyjnych wtyczki.

Rekomendacja

Zaleca się aktualizację wtyczki do najnowszej wersji oraz wdrożenie mechanizmów ochrony przed atakami CSRF.

Oryginalny opis (angielski, źródło NVD)

WordPress Lazy Content Slider Plugin 3.4 contains a cross-site request forgery vulnerability that allows attackers to perform unauthorized actions by crafting malicious HTML forms. Attackers can trick authenticated administrators into submitting POST requests to the plugin settings page via lzcs_admin.php to modify plugin configuration parameters like lzcs_color and lzcs_count.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS