CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-6441

Critical
Published: Translated: NVD NIST

Summary

Wtyczka WebinarIgnition dla WordPressa jest podatna na generowanie tokenów logowania bez uwierzytelnienia z powodu braku sprawdzenia uprawnień w funkcjach `webinarignition_sign_in_support_staff` oraz `webinarignition_register_support` we wszystkich wersjach do 4.03.32 włącznie. Umożliwia to nieautoryzowanym atakującym generowanie tokenów logowania dla dowolnych użytkowników WordPressa w określonych okolicznościach.

Risk Assessment

Podatność ta stwarza ryzyko obejścia uwierzytelnienia, co może prowadzić do nieautoryzowanego dostępu do kont użytkowników WordPressa. Może to skutkować poważnymi konsekwencjami dla bezpieczeństwa danych w organizacji.

Recommendation

Zaleca się aktualizację wtyczki WebinarIgnition do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa użytkowników i ich uprawnień w systemie WordPress.

Original NVD description (English source)

The Webinar Solution: Create live/evergreen/automated/instant webinars, stream & Zoom Meetings | WebinarIgnition plugin for WordPress is vulnerable to unauthenticated login token generation due to a missing capability check on the `webinarignition_sign_in_support_staff` and `webinarignition_register_support` functions in all versions up to, and including, 4.03.32. This makes it possible for unauthenticated attackers to generate login tokens for arbitrary WordPress users under certain circumstances, issuing authorization cookies which can lead to authentication bypass.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS