CVE-2024-9863
CriticalSummary
Wtyczka Miniorange OTP Verification with Firebase dla WordPressa jest podatna na eskalację uprawnień w wersjach do 3.6.0 włącznie, z powodu niebezpiecznej domyślnej wartości 'administrator' dla opcji 'default_user_role'. Umożliwia to nieautoryzowanym atakującym rejestrację użytkownika z uprawnieniami administratora, nawet jeśli formularz rejestracji jest wyłączony.
Risk Assessment
Organizacja może być narażona na nieautoryzowany dostęp do konta administratora, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych.
Recommendation
Zaleca się aktualizację wtyczki do najnowszej wersji oraz sprawdzenie i zaktualizowanie opcji 'default_user_role' w celu zminimalizowania ryzyka eskalacji uprawnień.
Original NVD description (English source)
The Miniorange OTP Verification with Firebase plugin for WordPress is vulnerable to privilege escalation in versions up to, and including, 3.6.0 due to the insecure 'administrator' default value for the 'default_user_role' option. This makes it possible for unauthenticated attackers to register an administrator user even if the registration form is disabled.

