CVE-2025-8570
CriticalSummary
Wtyczka BeyondCart Connector dla WordPressa jest podatna na eskalację uprawnień z powodu niewłaściwego zarządzania sekretem JWT oraz autoryzacją w filtrze determine_current_user w wersjach od 1.4.2 do 3.0.1. Umożliwia to nieautoryzowanym atakującym tworzenie ważnych tokenów i przyjmowanie tożsamości dowolnego użytkownika.
Risk Assessment
Organizacja może być narażona na przejęcie kont użytkowników przez atakujących, co prowadzi do potencjalnego wycieku danych i naruszenia prywatności. Eskalacja uprawnień może również skutkować nieautoryzowanym dostępem do wrażliwych zasobów.
Recommendation
Zaleca się aktualizację wtyczki BeyondCart Connector do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa użytkowników i ich uprawnień w systemie.
Original NVD description (English source)
The BeyondCart Connector plugin for WordPress is vulnerable to Privilege Escalation due to improper JWT secret management and authorization within the determine_current_user filter in versions 1.4.2 through 3.0.1. This makes it possible for unauthenticated attackers to craft valid tokens and assume any user’s identity.

