CVE-2024-10245
CriticalSummary
Wtyczka Relais 2FA dla WordPressa jest podatna na obejście uwierzytelniania w wersjach do 1.0 włącznie. Problem wynika z nieprawidłowego sprawdzania uwierzytelnienia i uprawnień w funkcji 'rl_do_ajax'.
Risk Assessment
Atakujący bez uwierzytelnienia mogą zalogować się jako dowolny istniejący użytkownik na stronie, w tym administrator, jeśli mają dostęp do jego adresu e-mail. To stwarza poważne zagrożenie dla bezpieczeństwa systemu.
Recommendation
Zaleca się aktualizację wtyczki Relais 2FA do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt użytkowników i ich uprawnień w systemie.
Original NVD description (English source)
The Relais 2FA plugin for WordPress is vulnerable to authentication bypass in versions up to, and including, 1.0. This is due to incorrect authentication and capability checking in the 'rl_do_ajax' function. This makes it possible for unauthenticated attackers to log in as any existing user on the site, such as an administrator, if they have access to the email.

