CWE-804БазаНеполный
Угадываемая CAPTCHA
Продукт использует проверку CAPTCHA, однако задание может быть угадано или автоматически распознано нечеловеческим субъектом.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
—
Связанные уязвимости
CVE-2022-1801Плагин Very Simple Contact Form WordPress до версии 11.6 предоставляет решение для капчи в отображаемой контактной форме, как в виде скрытых полей ввода, так и в виде обычного текста на странице, что позволяет ботам очень легко обходить проверку капчи, делая страницу вероятной целью для спам-ботов.
CVE-2026-49953Дискуз! X5.0 выпускает 20260320 по 20260610 содержит уязвимость шунтирования CAPTCHA, которая позволяет неаутентифицированным удаленным злоумышленникам побеждать элементы управления вызовами, используя ограниченную сложность и предсказуемые наборы символов в сгенерированных изображениях CAPTCHA. Злоумышленники могут обучить пользовательской оптической модели распознавания символов против собранных образцов CAPTCHA, чтобы надежно прогнозировать текст вызова, минуя защиту при входе в систему, регистрации и других функциональных возможностях от автоматизированного злоупотребления.
CVE-2025-32036DNN (ранее DotNetNuke) – это открытая система управления веб-контентом (CMS) в экосистеме Microsoft. Алгоритм, используемый для генерации изображения CAPTCHA, демонстрирует наименьшую сложность желаемого изображения, что позволяет легко читать изображение с помощью инструментов OCR [1]. Это позволяет злоумышленнику отправлять автоматические запросы, создавая бота и используя этот инструмент. Уязвимость была исправлена в версии 9.13.8.
Источники:
- [1] https://github.com/dnnsoftware/Dnn.Platform/security/advisories/GHSA-48q9-3p26-8595
- [2] https://github.com/dnnsoftware/Dnn.Platform/commit/abda726e75f1938c8d89795b5dceb80dc4e2e6c5
CVE-2026-27411Угадаемая уязвимость CAPTCHA в jp-secure SiteGuard WP Plugin siteguarde позволяет осуществлять обход функциональности. Эта проблема затрагивает ПЛыжок SiteGuard WP: от n/a до <= 1.7.9.
CVE-2026-40935WWBN AVideo - это видеоплатформа с открытым исходным кодом. В версиях 29.0 и предшествующих «objects/getCaptcha.php`» принимает длину (`ql`) CAPTCHA непосредственно из строки запроса без зажима или дезинфекции, позволяя любому неаутентифицированному клиенту заставлять сервер генерировать 1-символьное слово CAPTCHA. В сочетании с нечувствительным к регистру «strcasecmp` сравнением» по сравнению с ~33-символьным алфавитом и тем фактом, что неудачные проверки НЕ потребляют сохраненный токен сеанса, злоумышленник может тривиально использовать CAPTCHA на любой конечной точке, которая полагается на `Captcha: avidation()` (регистрация пользователя, восстановление пароля, контактная форма и т.д.) в не более чем ~33 запросов за сеанс. Компитация bf1c76989e6a9054be4f0eb009d68f0f2464b453 содержит исправление.
CVE-2025-70129Если функция анти-спам-капчу в версиях PluXml 5.8.22 и ранее включена, вызов капчи генерируется с форматом, который может быть автоматически распознан для статей, так что автоматизированный скрипт способен тривиально решать этот антиспам-механизм и публиковать спам-комментарии. Детали вызова captcha раскрываются в наборе статей с комментариями и функциями против спама-капта, включая «капча-бука», «капча-слово» и «капча-токен», которые могут быть использованы для создания действительного запроса на пост для публикации комментария. Таким образом, злоумышленники могут наводнить статьи автоматическими спам-комментариями, особенно если нет других доступных веб-защит.
CVE-2025-1262Плагин Advanced Google reCaptcha для WordPress уязвим для обхода CAPTCHA в версиях до и включая 1.27. Это позволяет неаутентифицированным злоумышленникам обойти встроенную проверку математической CAPTCHA.
CVE-2024-31295Уязвимость Guessable CAPTCHA в BestWebSoft Captcha от BestWebSoft позволяет обойти функциональность. Эта проблема затрагивает Captcha от BestWebSoft: от n/a до 5.2.0.
CVE-2024-30540Уязвимость CAPTCHA, которую можно угадать, в Guido VS Contact Form позволяет обойти функциональность. Эта проблема затрагивает VS Contact Form: от n/a до 14.7.
CVE-2023-6963Плагин Getwid – Gutenberg Blocks для WordPress уязвим для обхода CAPTCHA в версиях до 2.0.4 включительно. Это позволяет неаутентифицированным злоумышленникам обходить проверку Captcha блока Contact Form, опуская 'g-recaptcha-response' из массива 'data'.
CVE-2022-4036Плагин Appointment Hour Booking для WordPress подвержен обходу CAPTCHA в версиях до 1.3.72 включительно. Это связано с использованием недостаточно сильного алгоритма хеширования секрета CAPTCHA, который также отображается пользователю через cookie.