| Summary | The Neos Connector for Fakturama plugin for WordPress is vulnerable to Cross-Site Request Forgery in all versions up to and including 0.0.14. This is due to missing nonce validation in the ncff_add_plugin_page() function which handles settings updates. This makes it possible for unauthenticated attackers to modify plugin settings via a forged request, granted they can trick a site administrator into performing an action such as clicking a link. |
|---|---|
| Summary | El plugin Neos Connector for Fakturama para WordPress es vulnerable a la falsificación de petición en sitios cruzados en todas las versiones hasta la 0.0.14 inclusive. Esto se debe a la falta de validación de nonce en la función ncff_add_plugin_page() que gestiona las actualizaciones de configuración. Esto hace posible que atacantes no autenticados modifiquen la configuración del plugin a través de una petición falsificada, siempre que puedan engañar a un administrador del sitio para que realice una acción como hacer clic en un enlace. |
| Publication Date | March 21, 2026, 1:17 p.m. |
| Registration Date | April 27, 2026, 12:18 p.m. |
| Last Update | April 25, 2026, 1:27 a.m. |
| CVSS3.1 : MEDIUM | |
| スコア | 4.3 |
|---|---|
| Vector | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 低 |
| 攻撃に必要な特権レベル(PR) | 不要 |
| 利用者の関与(UI) | 要 |
| 影響の想定範囲(S) | 変更なし |
| 機密性への影響(C) | なし |
| 完全性への影響(I) | 低 |
| 可用性への影響(A) | なし |