CVE-2026-12417: Уразливість обходу автентифікації в плагіні SignUp & SignIn для WordPress

Критична уразливість обходу автентифікації в плагіні SignUp & SignIn для WordPress дозволяє захоплення облікових записів. Рекомендується негайне оновлення та перевірка безпеки.
CVE-2026-12417CVSS 9.8Web

CVE-2026-12417: Уразливість обходу автентифікації в плагіні SignUp & SignIn для WordPress

Критична уразливість обходу автентифікації в плагіні SignUp & SignIn для WordPress дозволяє захоплення облікових записів. Рекомендується негайне оновлення та перевірка безпеки.

CVSS
9.8 CRITICAL
EPSS
36.33%
Активно використовується
немає в KEV
Продукт
-

Що відомо

Плагін SignUp & SignIn для WordPress до версії 1.0.0 містить критичну уразливість обходу автентифікації через слабку перевірку скидання пароля. Зловмисники можуть змінити пароль будь-якого користувача, включно з адміністраторами, без автентифікації, отримуючи повний контроль над обліковим записом.

Бізнес-вплив

Ця уразливість дозволяє неавторизованим зловмисникам захопити облікові записи користувачів WordPress, включно з адміністраторами, що призводить до повного контролю над сайтом. Це створює серйозні ризики для безпеки, включно з компрометацією даних, зміною контенту та потенційним використанням ресурсу для подальших атак.

Рекомендовані дії адміністратора

Адміністраторам рекомендується негайно перевірити наявність оновлень плагіна SignUp & SignIn і встановити їх, якщо вони доступні. Якщо оновлення відсутні, слід обмежити доступ до admin-ajax.php, переглянути журнали на предмет підозрілої активності та розглянути тимчасове відключення плагіна. Важливо також посилити політику скидання паролів і регулярно моніторити безпеку сайту.

Джерела