CVE-2024-9933
CriticalSummary
Wtyczka WatchTowerHQ dla WordPressa jest podatna na obejście uwierzytelniania w wersjach do 3.10.1 włącznie. Problem wynika z domyślnej pustej wartości 'watchtower_ota_token' oraz braku sprawdzenia, czy wartość ta jest niepusta w funkcji 'Password_Less_Access::login'.
Risk Assessment
Atakujący bez uwierzytelnienia mogą uzyskać dostęp do konta administratora klienta WatchTowerHQ, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.
Recommendation
Zaleca się aktualizację wtyczki WatchTowerHQ do najnowszej wersji, aby usunąć tę podatność oraz wprowadzenie dodatkowych środków zabezpieczających dla kont administratorów.
Original NVD description (English source)
The WatchTowerHQ plugin for WordPress is vulnerable to authentication bypass in versions up to, and including, 3.10.1. This is due to the 'watchtower_ota_token' default value is empty, and the not empty check is missing in the 'Password_Less_Access::login' function. This makes it possible for unauthenticated attackers to log in to the WatchTowerHQ client administrator user.

