CVE-2026-12417: Уразливість обходу автентифікації в плагіні SignUp & SignIn для WordPress
Критична уразливість обходу автентифікації в плагіні SignUp & SignIn для WordPress дозволяє захоплення облікових записів. Рекомендується негайне оновлення та перевірка безпеки.
- CVSS
- 9.8 CRITICAL
- EPSS
- 36.33%
- Активно використовується
- немає в KEV
- Продукт
- -
Що відомо
Плагін SignUp & SignIn для WordPress до версії 1.0.0 містить критичну уразливість обходу автентифікації через слабку перевірку скидання пароля. Зловмисники можуть змінити пароль будь-якого користувача, включно з адміністраторами, без автентифікації, отримуючи повний контроль над обліковим записом.
Бізнес-вплив
Ця уразливість дозволяє неавторизованим зловмисникам захопити облікові записи користувачів WordPress, включно з адміністраторами, що призводить до повного контролю над сайтом. Це створює серйозні ризики для безпеки, включно з компрометацією даних, зміною контенту та потенційним використанням ресурсу для подальших атак.
Рекомендовані дії адміністратора
Адміністраторам рекомендується негайно перевірити наявність оновлень плагіна SignUp & SignIn і встановити їх, якщо вони доступні. Якщо оновлення відсутні, слід обмежити доступ до admin-ajax.php, переглянути журнали на предмет підозрілої активності та розглянути тимчасове відключення плагіна. Важливо також посилити політику скидання паролів і регулярно моніторити безпеку сайту.