V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
CVE-2026-5229КритическийПодтвержденаЭксплойт есть

Плагин Form Notify для WordPress уязвим для обхода аутентификации в версиях до 1.1.10 включПК. Это связано с плагином, доверяющим пользоват…

CVSS
9.8
Критический
EPSS
0.01
p49
Опубликовано
2026-01-01
Обновлено
2026-01-01
Описание

Плагин Form Notify для WordPress уязвим для обхода аутентификации в версиях до 1.1.10 включПК. Это связано с плагином, доверяющим пользовательским данным cookie, чтобы определить, какую учетную запись WordPress аутентифицировать после входа в систему LINE OAut. Когда LINE не предоставляет адрес электронной почты (что является общим), плагин возвращается к чтению значения cookie 'form_notify_line_email', не проверяя, что учетная запись LINE связана с этим адресом электронной почты. Это позволяет неаутентифицированным злоумышленникам получить доступ к любой учетной записи пользователя на сайте, включая учетные записи администратора, путем заполнения потока LINE OAut со своей собственной учетной записью LINE при введении вредоносного файла, содержащего адрес электронной почты целевой жертвы.

Теги · CWE
Без аутентификации
CWE-287
CAPEC-22
CAPEC-57
CAPEC-94
CAPEC-114
CAPEC-115
CAPEC-151
CAPEC-194
CAPEC-593
CAPEC-633
CAPEC-650
Вектор CVSS
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Хронология
2026-01-01
Опубликована
2026-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требуемые привилегии
PR: N
Отсутствуют (N)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Область воздействия
S: U
Неизменная (U)
Воздействие на конфиденциальность
C: H
Высокое (H)
Воздействие на целостность
I: H
Высокое (H)
Воздействие на доступность
A: H
Высокое (H)
Индикаторы эксплуатации
EPSS
0.007 · p49
Известна эксплуатация (KEV)
Нет
MITRE ATT&CK
Выводимые через CAPEC
Проверки Сканер-ВС
CVE-2026-5229
github-poc · https://github.com/xxconi/CVE-2026-5229
Enterprise
Нет уязвимостей под заданные фильтры.