CVE-2016-20074
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 1 — wyżej niż 1% wszystkich znanych CVE
Streszczenie
Wtyczka WordPress Lazy Content Slider w wersji 3.4 zawiera podatność na atak typu cross-site request forgery (CSRF), która umożliwia atakującym wykonywanie nieautoryzowanych działań poprzez tworzenie złośliwych formularzy HTML.
Ocena ryzyka
Atakujący mogą oszukać uwierzytelnionych administratorów, aby wysyłali żądania POST do strony ustawień wtyczki, co może prowadzić do nieautoryzowanej modyfikacji parametrów konfiguracyjnych wtyczki.
Rekomendacja
Zaleca się aktualizację wtyczki do najnowszej wersji oraz wdrożenie mechanizmów ochrony przed atakami CSRF.
Oryginalny opis (angielski, źródło NVD)
WordPress Lazy Content Slider Plugin 3.4 contains a cross-site request forgery vulnerability that allows attackers to perform unauthorized actions by crafting malicious HTML forms. Attackers can trick authenticated administrators into submitting POST requests to the plugin settings page via lzcs_admin.php to modify plugin configuration parameters like lzcs_color and lzcs_count.

