CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-13615

Critical
Published: Translated: NVD NIST

Summary

Wtyczka StreamTube Core dla WordPressa jest podatna na zmianę hasła użytkownika przez nieautoryzowanych użytkowników w wersjach do 4.78 włącznie. Problem wynika z możliwości kontrolowanego przez użytkownika dostępu do obiektów, co pozwala na ominięcie autoryzacji i dostęp do zasobów systemowych.

Risk Assessment

Nieautoryzowani atakujący mogą zmieniać hasła użytkowników, co stwarza ryzyko przejęcia kont administratorów. To może prowadzić do poważnych naruszeń bezpieczeństwa w organizacji.

Recommendation

Zaleca się aktualizację wtyczki do najnowszej wersji oraz sprawdzenie, czy pola hasła rejestracji są wyłączone w opcjach motywu, aby zminimalizować ryzyko.

Original NVD description (English source)

The StreamTube Core plugin for WordPress is vulnerable to Arbitrary User Password Change in versions up to, and including, 4.78. This is due to the plugin providing user-controlled access to objects, letting a user bypass authorization and access system resources. This makes it possible for unauthenticated attackers to change user passwords and potentially take over administrator accounts. Note: This can only be exploited if the 'registration password fields' enabled in theme options.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS