CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-8898

Critical
Published: Translated: NVD NIST

Summary

Wtyczka Taxi Booking Manager dla Woocommerce | E-cab w WordPressie jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do i włącznie z 1.3.0. Problem wynika z braku odpowiedniej walidacji uprawnień użytkownika przed aktualizacją ustawień wtyczki lub danych osobowych, takich jak adres e-mail.

Risk Assessment

Atakujący bez uwierzytelnienia mogą zmieniać adresy e-mail dowolnych użytkowników, w tym administratorów, co umożliwia resetowanie haseł i uzyskanie dostępu do konta. To stwarza poważne zagrożenie dla bezpieczeństwa organizacji.

Recommendation

Zaleca się natychmiastowe zaktualizowanie wtyczki do najnowszej wersji, która naprawia tę podatność oraz wdrożenie dodatkowych mechanizmów zabezpieczających, takich jak weryfikacja tożsamości użytkowników przed zmianą danych.

Original NVD description (English source)

The Taxi Booking Manager for Woocommerce | E-cab plugin for WordPress is vulnerable to privilege escalation via account takeover in all versions up to, and including, 1.3.0. This is due to the plugin not properly validating a user's capabilities prior to updating a plugin setting or their identity prior to updating their details like email address. This makes it possible for unauthenticated attackers to change arbitrary user's email addresses, including administrators, and leverage that to reset the user's password and gain access to their account. CVE-2025-54713 is likely a duplicate of this issue.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS