CVE-2025-3844
CriticalSummary
Wtyczka PeproDev Ultimate Profile Solutions dla WordPressa jest podatna na obejście uwierzytelniania w wersjach od 1.9.1 do 7.5.2. Problem wynika z braku odpowiednich ograniczeń w funkcji handel_ajax_req(), co umożliwia ustawienie kodu OTP i zalogowanie się przy jego użyciu.
Risk Assessment
Atakujący bez uwierzytelnienia mogą zalogować się jako inni użytkownicy, w tym administratorzy, co stwarza poważne zagrożenie dla bezpieczeństwa witryny.
Recommendation
Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność oraz wprowadzenie dodatkowych środków zabezpieczających, takich jak monitorowanie logowania.
Original NVD description (English source)
The PeproDev Ultimate Profile Solutions plugin for WordPress is vulnerable to Authentication Bypass in versions 1.9.1 to 7.5.2. This is due to handel_ajax_req() function not having proper restrictions on the change_user_meta functionality that makes it possible to set a OTP code and subsequently log in with that OTP code. This makes it possible for unauthenticated attackers to login as other users on the site, including administrators.

