CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2024-8485

Critical
Published: Translated: NVD NIST

Summary

Wtyczka REST API TO MiniProgram dla WordPressa jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do i włącznie z 4.7.1. Problem wynika z braku walidacji klucza 'openid', co pozwala nieautoryzowanym atakującym na aktualizację kont dowolnych użytkowników.

Risk Assessment

Atakujący mogą zmieniać adresy e-mail użytkowników, co umożliwia resetowanie haseł, w tym kont administratorów, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.

Recommendation

Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów zabezpieczających, takich jak walidacja danych wejściowych.

Original NVD description (English source)

The REST API TO MiniProgram plugin for WordPress is vulnerable to privilege escalation via account takeovr in all versions up to, and including, 4.7.1 via the updateUserInfo() due to missing validation on the 'openid' user controlled key that determines what user will be updated. This makes it possible for unauthenticated attackers to update arbitrary user's accounts, including their email to a @weixin.com email, which can the be leveraged to reset the password of the user's account, including administrators.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS