关键漏洞信息 描述 漏洞类型: CSRF (跨站请求伪造) 受影响插件: Competition Form <= 2.0 问题描述: 插件在更新设置时没有实施CSRF检查,允许攻击者通过CSRF攻击更改已登录管理员的设置。 概念验证 攻击链接示例: 说明: 可以是任何有效的ID。 影响范围 插件名称: competition-form 修复状态: 尚无已知修复方案 参考资料 CVE编号: CVE-2024-12750 分类 OWASP Top 10: A2: Broken Authentication and Session Management CWE编号: CWE-352 CVSS评分: 4.3 (中等) 其他信息 原始研究员: Bob Matyas 提交人: Bob Matyas 提交人网站: https://www.bobmatyas.com 提交人Twitter: bobmatyas 验证状态: 已验证 WPVDB ID: f3570bdc-659f-4a03-96f8-b4f9f045f910 时间线 公开发布日期: 2024-12-14 添加日期: 2025-01-07 最后更新日期: 2025-01-07