CVE-2020-37255
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 31 — wyżej niż 31% wszystkich znanych CVE
Streszczenie
Wtyczka WordPress Time Capsule w wersji 1.21.16 zawiera lukę umożliwiającą ominięcie uwierzytelnienia, co pozwala nieautoryzowanym atakującym uzyskać dostęp administracyjny poprzez wysłanie odpowiednio skonstruowanego żądania POST z nagłówkiem IWP_JSON_PREFIX. Atakujący mogą wykorzystać tę lukę do uzyskania ważnych ciasteczek sesyjnych administratora i dostępu do panelu WordPress bez podawania danych uwierzytelniających.
Ocena ryzyka
Luka ta stwarza poważne zagrożenie dla bezpieczeństwa, umożliwiając atakującym przejęcie kontroli nad stroną internetową bez konieczności logowania się. Może to prowadzić do nieautoryzowanych zmian w treści strony oraz wycieku danych.
Rekomendacja
Zaleca się natychmiastowe zaktualizowanie wtyczki do najnowszej wersji, aby usunąć tę lukę. Dodatkowo, warto monitorować logi dostępu w celu wykrycia potencjalnych prób ataków.
Oryginalny opis (angielski, źródło NVD)
WordPress Time Capsule Plugin 1.21.16 contains an authentication bypass vulnerability that allows unauthenticated attackers to gain administrative access by sending a crafted POST request with the IWP_JSON_PREFIX header. Attackers can exploit this flaw to obtain valid administrator session cookies and access the WordPress dashboard without providing credentials.

