CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2024-9933

Critical
Published: Translated: NVD NIST

Summary

Wtyczka WatchTowerHQ dla WordPressa jest podatna na obejście uwierzytelniania w wersjach do 3.10.1 włącznie. Problem wynika z domyślnej pustej wartości 'watchtower_ota_token' oraz braku sprawdzenia, czy wartość ta jest niepusta w funkcji 'Password_Less_Access::login'.

Risk Assessment

Atakujący bez uwierzytelnienia mogą uzyskać dostęp do konta administratora klienta WatchTowerHQ, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.

Recommendation

Zaleca się aktualizację wtyczki WatchTowerHQ do najnowszej wersji, aby usunąć tę podatność oraz wprowadzenie dodatkowych środków zabezpieczających dla kont administratorów.

Original NVD description (English source)

The WatchTowerHQ plugin for WordPress is vulnerable to authentication bypass in versions up to, and including, 3.10.1. This is due to the 'watchtower_ota_token' default value is empty, and the not empty check is missing in the 'Password_Less_Access::login' function. This makes it possible for unauthenticated attackers to log in to the WatchTowerHQ client administrator user.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS