CVE-2024-10284
KrytyczneStreszczenie
Wtyczka CE21 Suite dla WordPressa jest podatna na obejście uwierzytelniania w wersjach do 2.2.0 włącznie. Problem wynika z twardo zakodowanego klucza szyfrującego w funkcji 'ce21_authentication_phrase'.
Ocena ryzyka
Atakujący, który nie jest uwierzytelniony, może zalogować się jako dowolny istniejący użytkownik na stronie, w tym administrator, jeśli ma dostęp do adresu e-mail.
Rekomendacja
Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność oraz zabezpieczenie dostępu do kont użytkowników.
Oryginalny opis (angielski, źródło NVD)
The CE21 Suite plugin for WordPress is vulnerable to authentication bypass in versions up to, and including, 2.2.0. This is due to hardcoded encryption key in the 'ce21_authentication_phrase' function. This makes it possible for unauthenticated attackers to log in as any existing user on the site, such as an administrator, if they have access to the email.

