CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-2253

Critical
Published: Translated: NVD NIST

Summary

Wtyczka IMITHEMES Listing jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do i włącznie z 3.3. Problem wynika z niewłaściwej walidacji wartości kodu weryfikacyjnego przed aktualizacją hasła przez funkcję imic_reset_password_init().

Risk Assessment

Atakujący bez uwierzytelnienia mogą zmienić hasła dowolnych użytkowników, w tym administratorów, jeśli znany jest adres e-mail użytkownika. To stwarza poważne zagrożenie dla bezpieczeństwa systemu.

Recommendation

Zaleca się aktualizację wtyczki do najnowszej wersji oraz wdrożenie dodatkowych mechanizmów weryfikacji przy zmianie haseł, aby zminimalizować ryzyko przejęcia konta.

Original NVD description (English source)

The IMITHEMES Listing plugin is vulnerable to privilege escalation via account takeover in all versions up to, and including, 3.3. This is due to the plugin not properly validating a verification code value prior to updating their password through the imic_reset_password_init() function. This makes it possible for unauthenticated attackers to change any user's passwords, including administrators if the users email is known.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS