CVE-2025-9286
CriticalSummary
Wtyczka Appy Pie Connect dla WooCommerce w WordPressie jest podatna na eskalację uprawnień z powodu braku autoryzacji w funkcji reset_user_password() w interfejsie REST we wszystkich wersjach do i włącznie z 1.1.2. Umożliwia to nieautoryzowanym atakującym zresetowanie hasła dowolnych użytkowników, w tym administratorów.
Risk Assessment
Atakujący mogą uzyskać dostęp administracyjny do systemu, co stwarza poważne zagrożenie dla bezpieczeństwa danych i integralności aplikacji. Może to prowadzić do nieautoryzowanych zmian w konfiguracji oraz dostępu do wrażliwych informacji.
Recommendation
Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wprowadzić dodatkowe mechanizmy zabezpieczeń, takie jak ograniczenie dostępu do funkcji resetowania haseł.
Original NVD description (English source)
The Appy Pie Connect for WooCommerce plugin for WordPress is vulnerable to Privilege Escalation due to missing authorization within the reset_user_password() REST handler in all versions up to, and including, 1.1.2. This makes it possible for unauthenticated attackers to to reset the password of arbitrary users, including administrators, thereby gaining administrative access.

