CVE-2016-20067
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 2 — wyżej niż 2% wszystkich znanych CVE
Streszczenie
WordPress CP Polls w wersji 1.0.8 zawiera podatność na atak typu cross-site request forgery, która pozwala atakującym na wykonywanie nieautoryzowanych działań w imieniu uwierzytelnionych użytkowników. Atakujący mogą stworzyć złośliwe strony HTML, które wykonują niepożądane operacje na ankietach, gdy administratorzy odwiedzają tę stronę będąc zalogowanymi.
Ocena ryzyka
Podatność ta stwarza ryzyko, że atakujący mogą przejąć kontrolę nad działaniami administratorów, co może prowadzić do nieautoryzowanych zmian w ankietach i potencjalnie do wycieku danych.
Rekomendacja
Zaleca się aktualizację wtyczki CP Polls do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie dodatkowych środków zabezpieczających, takich jak weryfikacja tokenów CSRF.
Oryginalny opis (angielski, źródło NVD)
WordPress CP Polls 1.0.8 contains a cross-site request forgery vulnerability that allows attackers to perform unauthorized actions on behalf of authenticated users. Attackers can craft malicious HTML pages that execute unwanted poll operations when administrators visit the page while logged in.

