CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2019-25738

CriticalCVSS 9.8
Published: Updated: Translated: NVD NIST

Summary

WordPress Hybrid Composer w wersji 1.4.6 zawiera podatność na nieautoryzowaną zmianę ustawień, która pozwala atakującym na modyfikację opcji WordPressa. Wykorzystując akcję hc_ajax_save_option, atakujący mogą wysyłać żądania POST do punktu końcowego admin-ajax.php, co umożliwia włączenie rejestracji użytkowników oraz ustawienie domyślnej roli na administratora.

Risk Assessment

Podatność ta stwarza ryzyko przejęcia konta przez nieautoryzowanych użytkowników, co może prowadzić do poważnych naruszeń bezpieczeństwa w organizacji. Atakujący mogą uzyskać pełny dostęp do systemu WordPress, co zagraża integralności danych.

Recommendation

Zaleca się aktualizację WordPress Hybrid Composer do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wprowadzić dodatkowe zabezpieczenia, takie jak ograniczenie dostępu do punktu końcowego admin-ajax.php.

Original NVD description (English source)

WordPress Hybrid Composer 1.4.6 contains an unauthenticated settings change vulnerability that allows unauthenticated attackers to modify WordPress options by exploiting the hc_ajax_save_option action. Attackers can send POST requests to the admin-ajax.php endpoint with the action parameter set to hc_ajax_save_option to enable user registration and set the default role to administrator, enabling account takeover.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS