Katalog CVE

CVE-2026-13422

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.18%

Percentyl 8 — wyżej niż 8% wszystkich znanych CVE

Streszczenie

Wtyczka HD Quiz dla WordPressa w wersjach od 2.2.0 do 2.2.1 jest podatna na ataki Cross-Site Request Forgery (CSRF) z powodu braku lub nieprawidłowej walidacji tokena nonce w funkcji hdq_validate_nonce. Niezautoryzowany atakujący może wykorzystać tę lukę do usuwania lub modyfikowania quizów i pytań, tworzenia nowych quizów oraz zmiany ustawień wtyczki, pod warunkiem że nakłoni administratora witryny do wykonania akcji, np. kliknięcia w link.

Ocena ryzyka

Ryzyko polega na możliwości nieautoryzowanej modyfikacji treści quizów i pytań oraz zmian w konfiguracji wtyczki, co może prowadzić do naruszenia integralności danych i zaufania użytkowników. Atakujący może również przejąć kontrolę nad funkcjonalnością quizów, co może skutkować wyciekiem danych lub dalszymi atakami.

Rekomendacja

Należy natychmiast zaktualizować wtyczkę HD Quiz do najnowszej dostępnej wersji, która zawiera poprawkę usuwającą lukę CSRF. Jeśli aktualizacja nie jest dostępna, tymczasowo wyłącz wtyczkę do czasu wydania łatki.

Oryginalny opis (angielski, źródło NVD)

The HD Quiz plugin for WordPress is vulnerable to Cross-Site Request Forgery in versions 2.2.0 to 2.2.1. This is due to missing or incorrect nonce validation on the hdq_validate_nonce function. This makes it possible for unauthenticated attackers to delete or modify quizzes and questions, create new quizzes, and change plugin settings via a forged request granted they can trick a site administrator into performing an action such as clicking on a link.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS