CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-6895

Critical
Published: Translated: NVD NIST

Summary

Wtyczka Melapress Login Security dla WordPressa jest podatna na obejście uwierzytelniania z powodu braku autoryzacji w funkcji get_valid_user_based_on_token() w wersjach od 2.1.0 do 2.1.1. Umożliwia to nieautoryzowanym atakującym, którzy znają dowolną wartość meta użytkownika, ominięcie kontroli uwierzytelniania i zalogowanie się jako ten użytkownik.

Risk Assessment

Podatność ta stwarza poważne ryzyko dla bezpieczeństwa, ponieważ pozwala atakującym na uzyskanie dostępu do kont użytkowników bez odpowiednich uprawnień. Może to prowadzić do nieautoryzowanego dostępu do danych i funkcji w systemie.

Recommendation

Zaleca się aktualizację wtyczki Melapress Login Security do najnowszej wersji, aby usunąć tę podatność. Dodatkowo warto przeprowadzić audyt kont użytkowników w celu wykrycia potencjalnych nieautoryzowanych logowań.

Original NVD description (English source)

The Melapress Login Security plugin for WordPress is vulnerable to Authentication Bypass due to missing authorization within the get_valid_user_based_on_token() function in versions 2.1.0 to 2.1.1. This makes it possible for unauthenticated attackers who know an arbitrary user meta value to bypass authentication checks and log in as that user.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS