CVE-2026-11775 - User Admin Simplifier <= 3.0.0 - Cross-Site Request Forgery
Сводка
Эта запись подробно описывает уязвимость, обнаруженную в целевой системе. Эксплойт был опубликован 2026-06-19 и набрал 65 просмотров сообщества. Он классифицируется по категории удаленный. Пользователям рекомендуется ознакомиться с исходным кодом во вкладке «Детали» для получения технических подробностей.
Zafiyet Ozet Bilgileri
Zafiyet Detayi (Turkce)
WordPress için Kullanıcı Yöneticisi Basitleştirici eklentisi, 3.0.0'a kadar olan tüm sürümlerde Siteler Arası İstek Sahteciliğine karşı savunmasızdır. Bunun nedeni, useradminsimplifier_options_page işlevindeki eksik veya hatalı tek seferlik doğrulamadır. Bu, kimliği doğrulanmamış saldırganların, uas_save_admin_options()'ı tetikleyen ve sahte bir istek yoluyla useradminsimplifier_options veritabanı girişinin üzerine yazan sahte bir istek yoluyla herhangi bir kullanıcının depolanan menüsünü ve yönetici çubuğu yapılandırmasını sıfırlamasına ve kalıcı olarak silmesine olanak tanır; bu sayede site yöneticisini bir bağlantıya tıklamak gibi bir eylemi gerçekleştirmesi için kandırabilirler.
Orijinal Aciklama (Ingilizce)
The User Admin Simplifier plugin for WordPress is vulnerable to Cross-Site Request Forgery in all versions up to, and including, 3.0.0. This is due to missing or incorrect nonce validation on the useradminsimplifier_options_page function. This makes it possible for unauthenticated attackers to reset and permanently delete any user's stored menu and admin-bar configuration via a forged request that triggers uas_save_admin_options() and overwrites the useradminsimplifier_options database entry via a forged request granted they can trick a site administrator into performing an action such as clicking on a link.
Скачать исходный код
Скачать исходный код эксплойта для оффлайн анализа и тестирования.
Скачать сейчасРазмер файла: ~3.3 KB | MD5: 979478296522a4dd09c7071734ae5cb9
Нет доступных изображений в галерее.
Обсуждений пока нет.