V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
CVE-2026-5722Критический

Плагин MoreConvert Pro для WordPress уязвим для обхода аутентификации во всех версиях до 1,9.14. Это связано с тем, что поток проверки спис…

CVSS
9.8
Критический
EPSS
0.00
p36
Опубликовано
2026-01-01
Обновлено
2026-01-01
Описание

Плагин MoreConvert Pro для WordPress уязвим для обхода аутентификации во всех версиях до 1,9.14. Это связано с тем, что поток проверки списка ожидания гостей не делает недействительными или регенерирует токены проверки при изменении адреса электронной почты клиента. Это позволяет неаутентифицированным злоумышленникам аутентифицироваться как существующие пользователи, включая администраторов, путем получения действительного токена проверки гостя для электронной почты, контролируемой злоумышленником, изменения той же электронной почты гостя на адресную электронную почту учетной записи через общедоступный поток списков ожидания, а затем используя исходную ссылку проверки.

Теги · CWE
Без аутентификации
CWE-287
CAPEC-22
CAPEC-57
CAPEC-94
CAPEC-114
CAPEC-115
CAPEC-151
CAPEC-194
CAPEC-593
CAPEC-633
CAPEC-650
Вектор CVSS
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Хронология
2026-01-01
Опубликована
2026-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требуемые привилегии
PR: N
Отсутствуют (N)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Область воздействия
S: U
Неизменная (U)
Воздействие на конфиденциальность
C: H
Высокое (H)
Воздействие на целостность
I: H
Высокое (H)
Воздействие на доступность
A: H
Высокое (H)
Индикаторы эксплуатации
EPSS
0.005 · p36
Известна эксплуатация (KEV)
Нет
MITRE ATT&CK
Выводимые через CAPEC
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Нет уязвимостей под заданные фильтры.