Krytyczna luka wtyczki SignUp & SignIn dla WordPress umożliwia przejęcie konta
Krytyczna luka wtyczki SignUp & SignIn dla WordPress pozwala na przejęcie konta przez pominięcie uwierzytelniania. Sprawdź zalecenia bezpieczeństwa.
- CVSS
- 9.8 CRITICAL
- EPSS
- 36.33%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
Wtyczka SignUp & SignIn dla WordPress w wersjach do 1.0.0 ma poważną lukę umożliwiającą pominięcie uwierzytelniania poprzez słabą walidację resetu hasła. Atakujący może zmienić hasło dowolnego użytkownika, w tym administratora, bez autoryzacji.
Wpływ biznesowy
Eksploatacja tej luki pozwala na pełne przejęcie konta użytkownika WordPress, co może skutkować eskalacją uprawnień do poziomu administratora. Może to prowadzić do nieautoryzowanego dostępu do zasobów, modyfikacji treści, instalacji złośliwego oprogramowania oraz poważnych naruszeń bezpieczeństwa witryny i danych.
Rekomendowane działania administratora
Administratorzy powinni niezwłocznie zweryfikować dostępność aktualizacji wtyczki SignUp & SignIn oraz zastosować dostępne poprawki. W przypadku braku łatki zaleca się ograniczenie dostępu do pliku admin-ajax.php, monitorowanie logów pod kątem podejrzanych żądań oraz rozważenie tymczasowego wyłączenia wtyczki. Priorytetowo należy zabezpieczyć konta administratorów i przeprowadzić audyt bezpieczeństwa.