QR Redirector < 1.6 - Subscriber+ Arbitrary QR Redirect Response Status Update

The QR Redirector WordPress plugin before 1.6 does not have capability and CSRF checks when saving bulk QR Redirector settings via the qr_save_bulk AJAX action, which could allow any authenticated user, such as subscriber to change the redirect response status code of arbitrary QR Redirects

N/A

访问控制不恰当

WordPress 插件 跨站请求伪造漏洞

WordPress是Wordpress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress 插件是WordPress开源的一个应用插件。 WordPress 的QR Redirector插件1.6之前版本存在跨站请求伪造漏洞，该漏洞源于在通过QR_save_bulk AJAX操作保存批量QR Redirector设置时，未进行CSRF检查。攻击者可利用该漏洞改变任意QR重定向的响应状态码。

N/A

N/A