CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-3844

Critical
Published: Translated: NVD NIST

Summary

Wtyczka PeproDev Ultimate Profile Solutions dla WordPressa jest podatna na obejście uwierzytelniania w wersjach od 1.9.1 do 7.5.2. Problem wynika z braku odpowiednich ograniczeń w funkcji handel_ajax_req(), co umożliwia ustawienie kodu OTP i zalogowanie się przy jego użyciu.

Risk Assessment

Atakujący bez uwierzytelnienia mogą zalogować się jako inni użytkownicy, w tym administratorzy, co stwarza poważne zagrożenie dla bezpieczeństwa witryny.

Recommendation

Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność oraz wprowadzenie dodatkowych środków zabezpieczających, takich jak monitorowanie logowania.

Original NVD description (English source)

The PeproDev Ultimate Profile Solutions plugin for WordPress is vulnerable to Authentication Bypass in versions 1.9.1 to 7.5.2. This is due to handel_ajax_req() function not having proper restrictions on the change_user_meta functionality that makes it possible to set a OTP code and subsequently log in with that OTP code. This makes it possible for unauthenticated attackers to login as other users on the site, including administrators.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS