CVE-2016-20083
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 4 — wyżej niż 4% wszystkich znanych CVE
Streszczenie
Wtyczka WordPress More Fields w wersji 2.1 zawiera podatność na atak typu cross-site request forgery (CSRF), która umożliwia atakującym wykonywanie nieautoryzowanych działań poprzez wyłączenie walidacji tokenów CSRF.
Ocena ryzyka
Atakujący mogą stworzyć złośliwe strony internetowe, które wprowadzają zalogowanych administratorów w błąd, zmuszając ich do dodawania lub usuwania niestandardowych pól i sekcji na stronie pisania/edycji.
Rekomendacja
Zaleca się aktualizację wtyczki do najnowszej wersji oraz wdrożenie dodatkowych środków zabezpieczających, aby zapobiec atakom CSRF.
Oryginalny opis (angielski, źródło NVD)
WordPress More Fields Plugin 2.1 contains a cross-site request forgery vulnerability that allows attackers to perform unauthorized actions by disabling CSRF token validation. Attackers can craft malicious web pages that trick logged-in administrators into adding or deleting custom fields and boxes on the Write/Edit page via POST and GET requests to the options-general.php endpoint.

