CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-6380

Critical
Published: Translated: NVD NIST

Summary

Wtyczka ONLYOFFICE Docs dla WordPressa jest podatna na eskalację uprawnień z powodu braku autoryzacji w swoim punkcie końcowym oo.callback REST w wersjach od 1.1.0 do 2.2.0. Wtyczka weryfikuje jedynie, czy dostarczony, zaszyfrowany identyfikator załącznika odpowiada istniejącemu postowi załącznika, nie weryfikując tożsamości ani uprawnień żądającego.

Risk Assessment

Brak odpowiedniej autoryzacji umożliwia nieautoryzowanym atakującym logowanie się jako dowolny użytkownik, co może prowadzić do poważnych naruszeń bezpieczeństwa w systemie.

Recommendation

Zaleca się aktualizację wtyczki do najnowszej wersji, która naprawia tę podatność oraz wdrożenie dodatkowych mechanizmów autoryzacji dla punktów końcowych REST.

Original NVD description (English source)

The ONLYOFFICE Docs plugin for WordPress is vulnerable to Privilege Escalation due to missing authorization within its oo.callback REST endpoint in versions 1.1.0 to 2.2.0. The plugin’s permission callback only verifies that the supplied, encrypted attachment ID maps to an existing attachment post, but does not verify the requester’s identity or capabilities. This makes it possible for unauthenticated attackers to log in as an arbitrary user.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS