| 概要 | The Auto Post Scheduler plugin for WordPress is vulnerable to Cross-Site Request Forgery in all versions up to, and including, 1.84. This is due to missing nonce validation on the 'aps_options_page' function. This makes it possible for unauthenticated attackers to update settings and inject malicious web scripts via a forged request granted they can trick a site administrator into performing an action such as clicking on a link. |
|---|---|
| 概要 | El plugin Auto Post Scheduler para WordPress es vulnerable a la falsificación de petición en sitios cruzados en todas las versiones hasta e incluyendo la 1.84. Esto se debe a la falta de validación de nonce en la función 'aps_options_page'. Esto hace posible que atacantes no autenticados actualicen la configuración e inyecten scripts web maliciosos a través de una petición falsificada, siempre que puedan engañar a un administrador del sitio para que realice una acción como hacer clic en un enlace. |
| 公表日 | 2026年3月31日15:16 |
| 登録日 | 2026年4月27日12:21 |
| 最終更新日 | 2026年4月25日3:11 |
| CVSS3.1 : MEDIUM | |
| スコア | 6.1 |
|---|---|
| ベクター | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 低 |
| 攻撃に必要な特権レベル(PR) | 不要 |
| 利用者の関与(UI) | 要 |
| 影響の想定範囲(S) | 変更あり |
| 機密性への影響(C) | 低 |
| 完全性への影響(I) | 低 |
| 可用性への影響(A) | なし |