Katalog CVE

CVE-2020-37255

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.40%

Percentyl 31 — wyżej niż 31% wszystkich znanych CVE

Streszczenie

Wtyczka WordPress Time Capsule w wersji 1.21.16 zawiera lukę umożliwiającą ominięcie uwierzytelnienia, co pozwala nieautoryzowanym atakującym uzyskać dostęp administracyjny poprzez wysłanie odpowiednio skonstruowanego żądania POST z nagłówkiem IWP_JSON_PREFIX. Atakujący mogą wykorzystać tę lukę do uzyskania ważnych ciasteczek sesyjnych administratora i dostępu do panelu WordPress bez podawania danych uwierzytelniających.

Ocena ryzyka

Luka ta stwarza poważne zagrożenie dla bezpieczeństwa, umożliwiając atakującym przejęcie kontroli nad stroną internetową bez konieczności logowania się. Może to prowadzić do nieautoryzowanych zmian w treści strony oraz wycieku danych.

Rekomendacja

Zaleca się natychmiastowe zaktualizowanie wtyczki do najnowszej wersji, aby usunąć tę lukę. Dodatkowo, warto monitorować logi dostępu w celu wykrycia potencjalnych prób ataków.

Oryginalny opis (angielski, źródło NVD)

WordPress Time Capsule Plugin 1.21.16 contains an authentication bypass vulnerability that allows unauthenticated attackers to gain administrative access by sending a crafted POST request with the IWP_JSON_PREFIX header. Attackers can exploit this flaw to obtain valid administrator session cookies and access the WordPress dashboard without providing credentials.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS