CVE-2024-7493
KrytyczneStreszczenie
Wtyczka WPCOM Member dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do i włącznie z 1.5.2.1. Problem wynika z możliwości przekazywania dowolnych danych do funkcji wp_insert_user() podczas rejestracji.
Ocena ryzyka
Atakujący bez uwierzytelnienia mogą zaktualizować swoje uprawnienia do poziomu administratora podczas rejestracji, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.
Rekomendacja
Zaleca się aktualizację wtyczki WPCOM Member do najnowszej wersji, aby usunąć tę podatność oraz ograniczenie dostępu do rejestracji użytkowników.
Oryginalny opis (angielski, źródło NVD)
The WPCOM Member plugin for WordPress is vulnerable to privilege escalation in all versions up to, and including, 1.5.2.1. This is due to the plugin allowing arbitrary data to be passed to wp_insert_user() during registration. This makes it possible for unauthenticated attackers to update their role to that of an administrator during registration.

