CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-1475

Critical
Published: Translated: NVD NIST

Summary

Wtyczka WPCOM Member dla WordPressa jest podatna na obejście uwierzytelnienia we wszystkich wersjach do i włącznie z 1.7.5. Problem wynika z niewystarczającej weryfikacji parametru 'user_phone' podczas logowania.

Risk Assessment

Atakujący bez uwierzytelnienia mogą zalogować się jako dowolny istniejący użytkownik na stronie, w tym administrator, jeśli włączona jest opcja logowania przez SMS. To stwarza poważne zagrożenie dla bezpieczeństwa systemu.

Recommendation

Zaleca się aktualizację wtyczki WPCOM Member do najnowszej wersji, aby usunąć tę podatność. Dodatkowo warto rozważyć wyłączenie logowania przez SMS do czasu załatwienia problemu.

Original NVD description (English source)

The WPCOM Member plugin for WordPress is vulnerable to authentication bypass in all versions up to, and including, 1.7.5. This is due to insufficient verification on the 'user_phone' parameter when logging in. This makes it possible for unauthenticated attackers to log in as any existing user on the site, such as an administrator, if SMS login is enabled.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS