CVE-2025-6441
CriticalSummary
Wtyczka WebinarIgnition dla WordPressa jest podatna na generowanie tokenów logowania bez uwierzytelnienia z powodu braku sprawdzenia uprawnień w funkcjach `webinarignition_sign_in_support_staff` oraz `webinarignition_register_support` we wszystkich wersjach do 4.03.32 włącznie. Umożliwia to nieautoryzowanym atakującym generowanie tokenów logowania dla dowolnych użytkowników WordPressa w określonych okolicznościach.
Risk Assessment
Podatność ta stwarza ryzyko obejścia uwierzytelnienia, co może prowadzić do nieautoryzowanego dostępu do kont użytkowników WordPressa. Może to skutkować poważnymi konsekwencjami dla bezpieczeństwa danych w organizacji.
Recommendation
Zaleca się aktualizację wtyczki WebinarIgnition do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa użytkowników i ich uprawnień w systemie WordPress.
Original NVD description (English source)
The Webinar Solution: Create live/evergreen/automated/instant webinars, stream & Zoom Meetings | WebinarIgnition plugin for WordPress is vulnerable to unauthenticated login token generation due to a missing capability check on the `webinarignition_sign_in_support_staff` and `webinarignition_register_support` functions in all versions up to, and including, 4.03.32. This makes it possible for unauthenticated attackers to generate login tokens for arbitrary WordPress users under certain circumstances, issuing authorization cookies which can lead to authentication bypass.

