Katalog CVE

CVE-2024-10245

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka Relais 2FA dla WordPressa jest podatna na obejście uwierzytelniania w wersjach do 1.0 włącznie. Problem wynika z nieprawidłowego sprawdzania uwierzytelnienia i uprawnień w funkcji 'rl_do_ajax'.

Ocena ryzyka

Atakujący bez uwierzytelnienia mogą zalogować się jako dowolny istniejący użytkownik na stronie, w tym administrator, jeśli mają dostęp do jego adresu e-mail. To stwarza poważne zagrożenie dla bezpieczeństwa systemu.

Rekomendacja

Zaleca się aktualizację wtyczki Relais 2FA do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt użytkowników i ich uprawnień w systemie.

Oryginalny opis (angielski, źródło NVD)

The Relais 2FA plugin for WordPress is vulnerable to authentication bypass in versions up to, and including, 1.0. This is due to incorrect authentication and capability checking in the 'rl_do_ajax' function. This makes it possible for unauthenticated attackers to log in as any existing user on the site, such as an administrator, if they have access to the email.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS