Krytyczna luka uwierzytelniania w wtyczce Temporary Login dla WordPress
Krytyczna luka w wtyczce Temporary Login dla WordPress umożliwia ominięcie uwierzytelniania i dostęp do kont tymczasowych użytkowników.
- CVSS
- 9.8 CRITICAL
- EPSS
- 94.74%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
Wtyczka Temporary Login dla WordPress w wersjach do 1.0.0 umożliwia ominięcie uwierzytelniania poprzez niewłaściwą walidację parametru 'temp-login-token'. Atakujący może uzyskać dostęp jako dowolny tymczasowy użytkownik, wysyłając specjalnie spreparowane żądanie GET.
Wpływ biznesowy
Luka o krytycznym poziomie CVSS 9.8 pozwala nieautoryzowanym osobom na dostęp do kont tymczasowych użytkowników WordPress bez ważnego tokena. Może to prowadzić do przejęcia sesji, eskalacji uprawnień i potencjalnego naruszenia integralności oraz poufności danych w systemie.
Rekomendowane działania administratora
Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji wtyczki Temporary Login i ich wdrożenie. W przypadku braku łatki należy ograniczyć dostęp do funkcji tymczasowego logowania, monitorować logi pod kątem podejrzanych żądań GET z parametrem 'temp-login-token' oraz rozważyć tymczasowe wyłączenie wtyczki. Priorytetowo traktuj audyt i zabezpieczenie środowiska WordPress.