CVE-2025-14741
CriticalSummary
Wtyczka Frontend Admin autorstwa DynamiApps dla WordPressa jest podatna na brak autoryzacji, co umożliwia nieautoryzowanym użytkownikom modyfikację i usuwanie danych. Problem wynika z braku sprawdzenia uprawnień w funkcji 'delete_object' we wszystkich wersjach do 3.28.25 włącznie.
Risk Assessment
Brak odpowiednich zabezpieczeń pozwala nieautoryzowanym atakującym na usuwanie dowolnych postów, stron, produktów, terminów taksonomii oraz kont użytkowników, co może prowadzić do poważnych strat danych i naruszenia integralności systemu.
Recommendation
Zaleca się aktualizację wtyczki Frontend Admin do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów autoryzacji dla operacji usuwania danych.
Original NVD description (English source)
The Frontend Admin by DynamiApps plugin for WordPress is vulnerable to missing authorization to unauthorized data modification and deletion due to a missing capability check on the 'delete_object' function in all versions up to, and including, 3.28.25. This makes it possible for unauthenticated attackers to delete arbitrary posts, pages, products, taxonomy terms, and user accounts.

