CVE-2025-1475
CriticalSummary
Wtyczka WPCOM Member dla WordPressa jest podatna na obejście uwierzytelnienia we wszystkich wersjach do i włącznie z 1.7.5. Problem wynika z niewystarczającej weryfikacji parametru 'user_phone' podczas logowania.
Risk Assessment
Atakujący bez uwierzytelnienia mogą zalogować się jako dowolny istniejący użytkownik na stronie, w tym administrator, jeśli włączona jest opcja logowania przez SMS. To stwarza poważne zagrożenie dla bezpieczeństwa systemu.
Recommendation
Zaleca się aktualizację wtyczki WPCOM Member do najnowszej wersji, aby usunąć tę podatność. Dodatkowo warto rozważyć wyłączenie logowania przez SMS do czasu załatwienia problemu.
Original NVD description (English source)
The WPCOM Member plugin for WordPress is vulnerable to authentication bypass in all versions up to, and including, 1.7.5. This is due to insufficient verification on the 'user_phone' parameter when logging in. This makes it possible for unauthenticated attackers to log in as any existing user on the site, such as an administrator, if SMS login is enabled.

