CVE-2019-25763
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 34 — wyżej niż 34% wszystkich znanych CVE
Streszczenie
Wtyczka WordPress Ultimate Addons for Beaver Builder w wersji 1.2.4.1 zawiera lukę umożliwiającą obejście uwierzytelniania, co pozwala atakującym na uzyskanie nieautoryzowanego dostępu poprzez wykorzystanie funkcji logowania za pomocą mediów społecznościowych.
Ocena ryzyka
Atakujący mogą uzyskać dostęp do konta administratora, co stwarza poważne zagrożenie dla bezpieczeństwa całej witryny.
Rekomendacja
Zaleca się aktualizację wtyczki do najnowszej wersji oraz monitorowanie logów dostępu w celu wykrycia nieautoryzowanych prób logowania.
Oryginalny opis (angielski, źródło NVD)
WordPress Ultimate Addons for Beaver Builder 1.2.4.1 contains an authentication bypass vulnerability that allows attackers to gain unauthorized access by exploiting the social media login form functionality. Attackers can submit a POST request to the admin-ajax.php endpoint with the uabb-lf-google-submit action, a valid administrator email address, and a valid nonce to obtain session cookies and authenticate as that user.

