Krytyczna luka uwierzytelniania w WordPress Ultimate Addons for Beaver Builder 1.2.4.1
Krytyczna luka w WordPress Ultimate Addons for Beaver Builder umożliwia obejście uwierzytelniania i przejęcie konta administratora.
- CVSS
- 9.3 CRITICAL
- EPSS
- 34.43%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
Wtyczka WordPress Ultimate Addons for Beaver Builder 1.2.4.1 zawiera lukę umożliwiającą obejście uwierzytelniania poprzez formularz logowania za pomocą mediów społecznościowych. Atakujący mogą wysłać specjalnie spreparowane żądanie POST, aby uzyskać ciasteczka sesyjne i zalogować się jako administrator.
Wpływ biznesowy
Luka o wysokiej krytyczności (CVSS 9.3) pozwala na nieautoryzowany dostęp do kont administratorów WordPress, co może prowadzić do przejęcia kontroli nad witryną, modyfikacji treści lub instalacji złośliwego oprogramowania. Operatorzy powinni traktować tę podatność priorytetowo ze względu na ryzyko poważnych naruszeń bezpieczeństwa.
Rekomendowane działania administratora
Zaleca się jak najszybsze sprawdzenie dostępności aktualizacji wtyczki u dostawcy i ich wdrożenie. W międzyczasie ogranicz dostęp do endpointu admin-ajax.php, monitoruj logi pod kątem podejrzanych żądań POST związanych z akcją uabb-lf-google-submit oraz rozważ tymczasowe wyłączenie funkcji logowania przez media społecznościowe.