目標達成 すべての支援者に感謝 — 100%達成しました!

目標: 1000 CNY · 調達済み: 1325 CNY

100%
コーヒーを一杯おごる

CVE-2022-0830— WordPress和WordPress plugin 跨站请求伪造漏洞

AI Predicted 6.5 Difficulty: Easy EPSS 0.52% · P40
新しい脆弱性情報の通知を購読するログインして購読

I. CVE-2022-0830の基本情報

脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗

高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。

脆弱性タイトル
FormBuilder <= 1.08 - Stored Cross-Site Scripting via CSRF
ソース: NVD (National Vulnerability Database)
脆弱性説明
The FormBuilder WordPress plugin through 1.08 does not have CSRF checks in place when creating/updating and deleting forms, and does not sanitise as well as escape its form field values. As a result, attackers could make logged in admin update and delete arbitrary forms via a CSRF attack, and put Cross-Site Scripting payloads in them.
ソース: NVD (National Vulnerability Database)
CVSS情報
N/A
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
跨站请求伪造(CSRF)
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
WordPress和WordPress plugin 跨站请求伪造漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
WordPress是Wordpress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是WordPress开源的一个应用插件。 WordPress plugin FormBuilder存在跨站请求伪造漏洞,该漏洞源于在创建/更新和删除表单时没有进行CSRF检查,也没有对表单字段值进行清理和转义。因此,攻击者可以通过CSRF攻击进行登录管理更新和删除任意表单,并将跨站点脚本有效负载放入其中。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)

影響を受ける製品

ベンダープロダクト影響を受けるバージョンCPE購読
UnknownFormBuilder 1.08 ~ 1.08 -

II. CVE-2022-0830の公開POC

#POC説明ソースリンクShenlongリンク
AI生成POCプレミアム

公開POCは見つかりませんでした。

ログインしてAI POCを生成

III. CVE-2022-0830のインテリジェンス情報

登录查看更多情报信息。

CVE-2022-0830 厂商安全公告 (1)

Same Patch Batch · Unknown · 2022-04-04 · 22 CVEs total

CVE-2022-0884Profile Builder < 3.6.8 - Admin+ Stored Cross-Site Scripting
CVE-2021-25048KingComposer <= 2.9.6 - Subscriber+ Stored Cross-Site Scripting
CVE-2021-25113Dropdown Menu Widget <= 1.9.7 - Subscriber+ Arbitrary Settings Update to Stored XSS
CVE-2022-0403Library File Manager < 5.2.3 - Subscriber+ Arbitrary File Creation/Upload/Deletion
CVE-2022-0404Material Design for Contact Form 7 <= 2.6.4 - Subscriber+ Arbitrary Settings Update leadin
CVE-2022-0431Google Pagespeed Insights < 4.0.4 - Reflected Cross-Site Scripting
CVE-2022-0537MapPress Maps for WordPress < 2.73.13 - Admin+ File Upload to Remote Code Execution
CVE-2022-0709Booking Package < 1.5.29 - Unauthenticated Sensitive Data Disclosure
CVE-2022-0825Amelia < 1.0.49 - Customer+ Arbitrary Appointments Status Update
CVE-2022-0837Amelia < 1.0.48 - Customer+ SMS Service Abuse and Sensitive Data Disclosure
CVE-2022-0864UpdraftPlus < 1.22.9 - Reflected Cross-Site Scripting
CVE-2022-1170JobMonster < 4.5.2.9 - Unauthenticated Reflected Cross-Site Scripting
CVE-2022-0887Easy Social Icons < 3.1.4 - Admin+ SQL Injection
CVE-2022-0901Ad Inserter < 2.7.12 - Reflected Cross-Site Scripting
CVE-2022-0958Mark Posts < 2.0.1 - Admin+ Stored Cross-Site Scripting
CVE-2022-1164Wyzi < 2.4.3 - Reflected Cross-Site Scripting (XSS)
CVE-2022-1165Blackhole for Bad Bots < 3.3.2 - Arbitrary IP Address Blocking via IP Spoofing
CVE-2022-1166JobMonster < 4.6.6.1 - Directory Listing in Upload Folder
CVE-2022-1167CareerUp < 2.3.1 - Unauthenticated Reflected Cross-Site Scripting
CVE-2022-1168JobSearch < 1.5.1 - Unauthenticated Reflected Cross-Site Scripting (XSS)

Showing 20 of 22 CVEs. View all on vendor page →

IV. 関連脆弱性

同じベンダー: Unknown
同じ弱点: CWE-352

V. CVE-2022-0830へのコメント

まだコメントはありません

コメントを残す