CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2024-10245

Critical
Published: Translated: NVD NIST

Summary

Wtyczka Relais 2FA dla WordPressa jest podatna na obejście uwierzytelniania w wersjach do 1.0 włącznie. Problem wynika z nieprawidłowego sprawdzania uwierzytelnienia i uprawnień w funkcji 'rl_do_ajax'.

Risk Assessment

Atakujący bez uwierzytelnienia mogą zalogować się jako dowolny istniejący użytkownik na stronie, w tym administrator, jeśli mają dostęp do jego adresu e-mail. To stwarza poważne zagrożenie dla bezpieczeństwa systemu.

Recommendation

Zaleca się aktualizację wtyczki Relais 2FA do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt użytkowników i ich uprawnień w systemie.

Original NVD description (English source)

The Relais 2FA plugin for WordPress is vulnerable to authentication bypass in versions up to, and including, 1.0. This is due to incorrect authentication and capability checking in the 'rl_do_ajax' function. This makes it possible for unauthenticated attackers to log in as any existing user on the site, such as an administrator, if they have access to the email.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS