CVEbaza.plSłownik CWECWE-352
Common Weakness Enumeration

CWE-352

Cross-Site Request Forgery (CSRF)

Kategoria: CompoundCVE: 10 574
Opis

Aplikacja webowa nie weryfikuje lub nie potrafi wystarczająco zweryfikować, czy żądanie zostało celowo przesłane przez użytkownika, który je wysłał. Żądanie mogło pochodzić od nieautoryzowanego podmiotu.

Description (EN)

The web application does not, or cannot, sufficiently verify whether a request was intentionally provided by the user who sent the request, which could have originated from an unauthorized actor.

Podatności CVE z CWE-352 (10 574)
10.0
CVSS
CRITICAL
CVE-2025-12479

Urządzenia Azure-Access BLU-IC2 oraz BLU-IC4 w wersjach do 1.19.5 są podatne na ataki Cross-Site Request Forgery (CSRF) z powodu systemowego braku implementacji tokenów CSRF. Podatność otrzymała ocenę CVSS 10.0, co oznacza krytyczne zagrożenie możliwe do wykorzystania przez nieuwierzytelnionego atakującego zdalnie.

pub. 2025-10-29
10.0
CVSS
CRITICAL
CVE-2025-32642

Wtyczka Vite Coupon do WordPress w wersjach do 1.0.9 zawiera krytyczną podatność typu Cross-Site Request Forgery (CSRF), która umożliwia atakującemu zdalne wykonanie kodu (RCE). Podatność otrzymała maksymalną ocenę CVSS 10.0, co czyni ją ekstremalnie groźną dla każdej witryny korzystającej z tej wtyczki.

pub. 2025-04-09
10.0
CVSS
CRITICAL
CVE-2025-23922

Podatność Cross-Site Request Forgery (CSRF) w pluginie WordPress iSpring Embedder w wersji 1.0 i wcześniejszych pozwala nieuprawnionemu atakującemu na przesłanie złośliwego web shell na serwer. Ze względu na brak wymagań uwierzytelnienia i możliwość zdalnego wykonania kodu, podatność otrzymała maksymalny wynik CVSS 10.0.

pub. 2025-01-16
10.0
CVSS
CRITICAL
CVE-2023-45128

Fiber is an express inspired web framework written in Go. A Cross-Site Request Forgery (CSRF) vulnerability has been identified in the application, which allows an attacker to inject arbitrary values and forge malicious requests on behalf of a user. This vulnerability can allow an attacker to inject arbitrary values without any authentication, or perform various malicious actions on behalf of an authenticated user, potentially compromising the security and integrity of the application. The vulnerability is caused by improper validation and enforcement of CSRF tokens within the application. This issue has been addressed in version 2.50.0 and users are advised to upgrade. Users should take additional security measures like captchas or Two-Factor Authentication (2FA) and set Session cookies with SameSite=Lax or SameSite=Secure, and the Secure and HttpOnly attributes as defense in depth measures. There are no known workarounds for this vulnerability.

pub. 2023-10-16
10.0
CVSS
CRITICAL
CVE-2017-5145

An issue was discovered in Carlo Gavazzi VMU-C EM prior to firmware Version A11_U05, and VMU-C PV prior to firmware Version A17. Successful exploitation of this CROSS-SITE REQUEST FORGERY (CSRF) vulnerability can allow execution of unauthorized actions on the device such as configuration parameter changes, and saving modified configuration.

pub. 2017-02-13
10.0
CVSS
HIGH
CVE-2013-2762

The Schneider Electric Magelis XBT HMI controller has a default password for authentication of configuration uploads, which makes it easier for remote attackers to bypass intended access restrictions via crafted configuration data.

pub. 2013-04-04
9.8
CVSS
CRITICAL
CVE-2025-48340

Podatność Cross-Site Request Forgery (CSRF) w pluginie WordPress User Profile Meta Manager (wersje do 1.02 włącznie) pozwala atakującemu na eskalację uprawnień. Brak weryfikacji pochodzenia żądań umożliwia nieuprawnione działania w imieniu zalogowanego użytkownika.

pub. 2025-05-19
9.8
CVSS
CRITICAL
CVE-2025-2907

Wtyczka Order Delivery Date for WordPress w wersjach przed 12.3.1 nie weryfikuje autoryzacji ani tokenów CSRF podczas importu ustawień, co pozwala nieuwierzytelnionemu atakującemu na przejęcie pełnej kontroli nad witryną. Podatność jest krytyczna, ponieważ umożliwia samodzielną rejestrację konta administratora bez żadnych uprawnień wstępnych.

pub. 2025-04-26
9.8
CVSS
CRITICAL
CVE-2025-31033

Wtyczka BuddyPress Humanity dla WordPressa w wersji do 1.2 włącznie zawiera podatność Cross-Site Request Forgery (CSRF), która może prowadzić do nieautoryzowanego podniesienia uprawnień. Podatność jest szczególnie groźna, ponieważ nie wymaga uwierzytelnienia atakującego ani złożonych warunków technicznych.

pub. 2025-04-09
9.8
CVSS
CRITICAL
CVE-2025-23797

Wtyczka WP Options Editor do WordPress w wersji do 1.1 włącznie zawiera podatność Cross-Site Request Forgery (CSRF), która pozwala atakującemu na eskalację uprawnień. Podatność jest krytyczna, ponieważ nie wymaga uwierzytelnienia ani interakcji użytkownika po stronie serwera — wystarczy nakłonić zalogowanego użytkownika do odwiedzenia złośliwej strony.

pub. 2025-01-16
9.8
CVSS
CRITICAL
CVE-2024-56012

Wtyczka WordPress Flash News / Post (Responsive) w wersji do 4.1 włącznie zawiera podatność Cross-Site Request Forgery (CSRF), która pozwala na eskalację uprawnień. Podatność jest krytyczna, ponieważ nie wymaga uwierzytelnienia ani interakcji użytkownika poza jednorazowym odwiedzeniem złośliwej strony.

pub. 2024-12-16
9.8
CVSS
CRITICAL
CVE-2024-44677

Eladmin w wersji 2.7 i wcześniejszych zawiera podatność typu Server-Side Request Forgery (SSRF) w komponencie DatabaseController.java. Podatność jest krytyczna, ponieważ pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie dowolnego kodu na serwerze.

pub. 2024-09-10
9.8
CVSS
CRITICAL
CVE-2024-34502

Rozszerzenie WikibaseLexeme w MediaWiki umożliwia wykonanie operacji scalania leksemów (MergeLexemes) bez weryfikacji, czy żądanie pochodzi z formularza POST i czy zawiera token edycji. Stanowi to klasyczny błąd Cross-Site Request Forgery (CSRF), który może prowadzić do nieautoryzowanych modyfikacji danych.

pub. 2024-05-05
9.8
CVSS
CRITICAL
CVE-2024-33449

Podatność typu SSRF w serwisie PDFMyURL pozwala zdalnym atakującym na pozyskanie poufnych informacji oraz wykonanie dowolnego kodu. Ze względu na brak wymagań co do uwierzytelnienia i sieciowy charakter ataku, zagrożenie klasyfikowane jest jako krytyczne (CVSS 9.8).

pub. 2024-04-29
9.8
CVSS
CRITICAL
CVE-2024-29684

W systemie DedeCMS v5.7 wykryto podatność typu Cross-Site Request Forgery (CSRF) w komponencie makehtml_homepage.php, która umożliwia zdalnemu atakującemu wykonanie dowolnego kodu. Podatność jest oceniana jako krytyczna z wynikiem CVSS 9.8.

pub. 2024-03-26
9.8
CVSS
CRITICAL
CVE-2023-4659

Cross-Site Request Forgery vulnerability, whose exploitation could allow an attacker to perform different actions on the platform as an administrator, simply by changing the token value to "admin". It is also possible to perform POST, GET and DELETE requests without any token value. Therefore, an unprivileged remote user is able to create, delete and modify users within theapplication.

pub. 2023-10-02
9.8
CVSS
CRITICAL
CVE-2022-20861

Multiple vulnerabilities in Cisco Nexus Dashboard could allow an unauthenticated, remote attacker to execute arbitrary commands, read or upload container image files, or perform a cross-site request forgery attack. For more information about these vulnerabilities, see the Details section of this advisory.

pub. 2022-07-21
9.8
CVSS
CRITICAL
CVE-2022-1574

The HTML2WP WordPress plugin through 1.0.0 does not have authorisation and CSRF checks when importing files, and does not validate them, as a result, unauthenticated attackers can upload arbitrary files (such as PHP) on the remote server

pub. 2022-06-27
9.8
CVSS
CRITICAL
CVE-2022-1020

The Product Table for WooCommerce (wooproducttable) WordPress plugin before 3.1.2 does not have authorisation and CSRF checks in the wpt_admin_update_notice_option AJAX action (available to both unauthenticated and authenticated users), as well as does not validate the callback parameter, allowing unauthenticated attackers to call arbitrary functions with either none or one user controlled argument

pub. 2022-04-18
9.8
CVSS
CRITICAL
CVE-2021-25032

The PublishPress Capabilities WordPress plugin before 2.3.1, PublishPress Capabilities Pro WordPress plugin before 2.3.1 does not have authorisation and CSRF checks when updating the plugin's settings via the init hook, and does not ensure that the options to be updated belong to the plugin. As a result, unauthenticated attackers could update arbitrary blog options, such as the default role and make any new registered user with an administrator role.

pub. 2022-01-10
Pokazano 20 z 10 574 podatności
Informacje
ID: CWE-352
Typ: Compound
Podatności: 10 574
MITRE CWE ↗
← Słownik CWE