Krytyczna luka uwierzytelniania w WordPress Ultimate Addons for Beaver Builder 1.2.4.1

Krytyczna luka w WordPress Ultimate Addons for Beaver Builder umożliwia obejście uwierzytelniania i przejęcie konta administratora.
CVE-2019-25763CVSS 9.3Web

Krytyczna luka uwierzytelniania w WordPress Ultimate Addons for Beaver Builder 1.2.4.1

Krytyczna luka w WordPress Ultimate Addons for Beaver Builder umożliwia obejście uwierzytelniania i przejęcie konta administratora.

CVSS
9.3 CRITICAL
EPSS
34.43%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

Wtyczka WordPress Ultimate Addons for Beaver Builder 1.2.4.1 zawiera lukę umożliwiającą obejście uwierzytelniania poprzez formularz logowania za pomocą mediów społecznościowych. Atakujący mogą wysłać specjalnie spreparowane żądanie POST, aby uzyskać ciasteczka sesyjne i zalogować się jako administrator.

Wpływ biznesowy

Luka o wysokiej krytyczności (CVSS 9.3) pozwala na nieautoryzowany dostęp do kont administratorów WordPress, co może prowadzić do przejęcia kontroli nad witryną, modyfikacji treści lub instalacji złośliwego oprogramowania. Operatorzy powinni traktować tę podatność priorytetowo ze względu na ryzyko poważnych naruszeń bezpieczeństwa.

Rekomendowane działania administratora

Zaleca się jak najszybsze sprawdzenie dostępności aktualizacji wtyczki u dostawcy i ich wdrożenie. W międzyczasie ogranicz dostęp do endpointu admin-ajax.php, monitoruj logi pod kątem podejrzanych żądań POST związanych z akcją uabb-lf-google-submit oraz rozważ tymczasowe wyłączenie funkcji logowania przez media społecznościowe.

Źródła