CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-4607

Critical
Published: Translated: NVD NIST

Summary

Wtyczka PSW Front-end Login & Registration dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 1.12 włącznie, poprzez funkcję customer_registration(). Problem wynika z użycia słabego mechanizmu OTP o niskiej entropii w funkcji forget().

Risk Assessment

Atakujący bez uwierzytelnienia mogą zainicjować reset hasła dla dowolnego użytkownika, w tym administratorów, co pozwala na przejęcie pełnej kontroli nad stroną.

Recommendation

Zaleca się aktualizację wtyczki do najnowszej wersji oraz wdrożenie silniejszych mechanizmów uwierzytelniania dla resetu haseł.

Original NVD description (English source)

The PSW Front-end Login & Registration plugin for WordPress is vulnerable to Privilege Escalation in all versions up to, and including, 1.12 via the customer_registration() function. This is due to the use of a weak, low-entropy OTP mechanism in the forget() function. This makes it possible for unauthenticated attackers to initiate a password reset for any user, including administrators, and elevate their privileges for full site takeover.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS