CVE-2025-14736
CriticalSummary
Wtyczka Frontend Admin autorstwa DynamiApps dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 3.28.29 włącznie. Problem wynika z niewystarczającej walidacji wartości ról dostarczanych przez użytkowników w funkcjach 'validate_value', 'pre_update_value' oraz 'get_fields_display'.
Risk Assessment
Atakujący bez uwierzytelnienia mogą zarejestrować się jako administratorzy, co pozwala im na pełną kontrolę nad stroną, jeśli mają dostęp do formularza rejestracji użytkownika zawierającego pole Rola.
Recommendation
Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność oraz wprowadzenie dodatkowych mechanizmów zabezpieczających formularze rejestracji użytkowników.
Original NVD description (English source)
The Frontend Admin by DynamiApps plugin for WordPress is vulnerable to Privilege Escalation in all versions up to, and including, 3.28.29. This is due to insufficient validation of user-supplied role values in the 'validate_value', 'pre_update_value', and 'get_fields_display' functions. This makes it possible for unauthenticated attackers to register as administrators and gain complete control of the site, granted they can access a user registration form containing a Role field.

