Katalog CVE

CVE-2026-11981

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.15%

Percentyl 5 — wyżej niż 5% wszystkich znanych CVE

Streszczenie

Wtyczka GiveWP dla WordPressa jest podatna na atak Cross-Site Request Forgery (CSRF) w wersjach do 4.15.3 włącznie. Podatność wynika z braku walidacji tokena nonce w funkcji give_set_notification_status_handler(), co pozwala nieuwierzytelnionym atakującym na wyłączenie powiadomień e-mail o darowiznach poprzez sfałszowane żądanie.

Ocena ryzyka

Ryzyko polega na tym, że atakujący może nakłonić administratora do kliknięcia w link, co spowoduje wyłączenie powiadomień e-mail o darowiznach bez jego wiedzy. Może to prowadzić do opóźnień w obsłudze darowizn i utraty zaufania darczyńców.

Rekomendacja

Zaleca się natychmiastową aktualizację wtyczki GiveWP do najnowszej dostępnej wersji, która zawiera poprawkę zabezpieczającą przed atakami CSRF. Należy również rozważyć wdrożenie dodatkowych mechanizmów ochrony, takich jak tokeny anty-CSRF w formularzach administracyjnych.

Oryginalny opis (angielski, źródło NVD)

The GiveWP plugin for WordPress is vulnerable to Cross-Site Request Forgery in versions up to, and including, 4.15.3 This is due to missing nonce validation on the give_set_notification_status_handler() function. This makes it possible for unauthenticated attackers to disable donation email notifications via a forged request granted they can trick a site administrator into performing an action such as clicking on a link.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS