Krytyczna luka wtyczki SignUp & SignIn dla WordPress umożliwia przejęcie konta

Krytyczna luka wtyczki SignUp & SignIn dla WordPress pozwala na przejęcie konta przez pominięcie uwierzytelniania. Sprawdź zalecenia bezpieczeństwa.
CVE-2026-12417CVSS 9.8Web

Krytyczna luka wtyczki SignUp & SignIn dla WordPress umożliwia przejęcie konta

Krytyczna luka wtyczki SignUp & SignIn dla WordPress pozwala na przejęcie konta przez pominięcie uwierzytelniania. Sprawdź zalecenia bezpieczeństwa.

CVSS
9.8 CRITICAL
EPSS
36.33%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

Wtyczka SignUp & SignIn dla WordPress w wersjach do 1.0.0 ma poważną lukę umożliwiającą pominięcie uwierzytelniania poprzez słabą walidację resetu hasła. Atakujący może zmienić hasło dowolnego użytkownika, w tym administratora, bez autoryzacji.

Wpływ biznesowy

Eksploatacja tej luki pozwala na pełne przejęcie konta użytkownika WordPress, co może skutkować eskalacją uprawnień do poziomu administratora. Może to prowadzić do nieautoryzowanego dostępu do zasobów, modyfikacji treści, instalacji złośliwego oprogramowania oraz poważnych naruszeń bezpieczeństwa witryny i danych.

Rekomendowane działania administratora

Administratorzy powinni niezwłocznie zweryfikować dostępność aktualizacji wtyczki SignUp & SignIn oraz zastosować dostępne poprawki. W przypadku braku łatki zaleca się ograniczenie dostępu do pliku admin-ajax.php, monitorowanie logów pod kątem podejrzanych żądań oraz rozważenie tymczasowego wyłączenia wtyczki. Priorytetowo należy zabezpieczyć konta administratorów i przeprowadzić audyt bezpieczeństwa.

Źródła