WordPress MailPoet Newsletters插件跨站请求伪造漏洞（CVE-2014-3907）

发布日期：2014-08-26
更新日期：2014-08-29受影响系统：
WordPress MailPoet Newsletters < 2.6.11
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 69397
CVE（CAN） ID: CVE-2014-3907

WordPress MailPoet Newsletters是发送简报、帖子通知或自动回复的插件。

MailPoet Newsletters 2.6.11之前版本在实现上存在跨站请求伪造漏洞，可使远程攻击者劫持任意用户的身份验证。

<*来源：Yoshinori Matsumoto
*>建议：
--------------------------------------------------------------------------------
厂商补丁：

WordPress
---------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://wordpress.org/plugins/wysija-newsletters/changelog/