漏洞信息 漏洞概述 CVE: CVE-2020-35135 / CX-2020-4294 状态: Published 问题: CSRF In Ultimate-Category-Excluder Wordpress Plugin 类型: WordPress, CSRF 作者: Yaniv Nizry 日期: Dec 8, 2020 摘要 受影响的ultimate-category-excluder WordPress插件版本在 页存在跨站请求伪造(CSRF)攻击漏洞。 产品 ultimate-category-excluder WordPress插件 v1.2之前版本 影响 访问恶意站点的管理员可能会在不知情的情况下更改ultimate-category-excluder设置。 复现步骤 1. 在安装了易受攻击的ultimate-category-excluder插件的WordPress上。 2. 管理员访问以下页面: 预期结果 管理员设置页面将根据攻击者的输入进行更改。 修复建议 将ultimate-category-excluder更新到1.2或更高版本。 来源 此漏洞由Checkmarx SCA安全研究员Yaniv Nizry发现并报告。 其他 严重等级: 8.8 (高) 属性: - 攻击向量: 网络 - 攻击复杂性: 低 - 所需权限: 无 - 用户交互: 需要 - 作用范围: 未更改 - 机密性: 高 - 完整性: 高 - 可用性: 高 公告时间线: - 发现日期: Dec 8, 2020 - 修复日期: Dec 8, 2020 - 公布日期: Dec 8, 2020