CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-10294

Critical
Published: Translated: NVD NIST

Summary

Wtyczka OwnID Passwordless Login dla WordPressa jest podatna na obejście uwierzytelnienia we wszystkich wersjach do i włącznie z 1.3.4. Problem wynika z niewłaściwego sprawdzania, czy wartość ownid_shared_secret jest pusta przed uwierzytelnieniem użytkownika za pomocą JWT.

Risk Assessment

Atakujący, który nie jest uwierzytelniony, może zalogować się jako inny użytkownik, w tym administrator, na instancjach, gdzie wtyczka nie została w pełni skonfigurowana. To stwarza poważne ryzyko dla bezpieczeństwa systemu.

Recommendation

Zaleca się aktualizację wtyczki do najnowszej wersji oraz upewnienie się, że konfiguracja wtyczki jest poprawna, aby zminimalizować ryzyko nieautoryzowanego dostępu.

Original NVD description (English source)

The OwnID Passwordless Login plugin for WordPress is vulnerable to Authentication Bypass in all versions up to, and including, 1.3.4. This is due to the plugin not properly checking if the ownid_shared_secret value is empty prior to authenticating a user via JWT. This makes it possible for unauthenticated attackers to log in as other users, including administrators, on instances where the plugin has not been fully configured yet.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS