V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
CVE-2026-4283
ANC
Критический

Плагин WP DSGVO Tools (GDPR) для WordPress уязвим для несанкционированного уничтожения учетной записи во всех версиях до 3.1.38. Это связан…

CVSS
9.1
Критический
EPSS
0.00
p34
Опубликовано
2026-01-01
Обновлено
2026-01-01
Описание

Плагин WP DSGVO Tools (GDPR) для WordPress уязвим для несанкционированного уничтожения учетной записи во всех версиях до 3.1.38. Это связано с действием «супер-отписаться» AJAX, принимающего параметр `process_now` от неаутентованных пользователей, который обходит предполагаемый поток подтверждения электронной почты и немедленно вызывает необратимую анонимность учетной записи. Это позволяет неаутентичным злоумышленникам навсегда уничтожить любую учетную запись пользователя, не являющуюся администратором (пароль рандомизирована, имя пользователя / электронная почта, снятые роли, анонимные комментарии, конфиденциальные пользовательские мета, удаленные) путем отправки адреса электронной почты жертвы с `process_now=1`. Некография, необходимая для запроса, находится в открытом доступе на любой странице, содержащей шорткод `[unsubscribe_form]`.

Теги · CWE
Без аутентификации
CWE-862
CAPEC-665
Затронутые продукты
Вектор CVSS
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H
Хронология
2026-01-01
Опубликована
2026-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требуемые привилегии
PR: N
Отсутствуют (N)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Область воздействия
S: U
Неизменная (U)
Воздействие на конфиденциальность
C: N
Отсутствует (N)
Воздействие на целостность
I: H
Высокое (H)
Воздействие на доступность
A: H
Высокое (H)
Индикаторы эксплуатации
EPSS
0.004 · p34
Известна эксплуатация (KEV)
Нет
MITRE ATT&CK
Выводимые через CAPEC
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Затронутые продукты
ПродуктВендорСтатус
Отслеживается