Katalog CVE

CVE-2024-9863

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka Miniorange OTP Verification with Firebase dla WordPressa jest podatna na eskalację uprawnień w wersjach do 3.6.0 włącznie, z powodu niebezpiecznej domyślnej wartości 'administrator' dla opcji 'default_user_role'. Umożliwia to nieautoryzowanym atakującym rejestrację użytkownika z uprawnieniami administratora, nawet jeśli formularz rejestracji jest wyłączony.

Ocena ryzyka

Organizacja może być narażona na nieautoryzowany dostęp do konta administratora, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych.

Rekomendacja

Zaleca się aktualizację wtyczki do najnowszej wersji oraz sprawdzenie i zaktualizowanie opcji 'default_user_role' w celu zminimalizowania ryzyka eskalacji uprawnień.

Oryginalny opis (angielski, źródło NVD)

The Miniorange OTP Verification with Firebase plugin for WordPress is vulnerable to privilege escalation in versions up to, and including, 3.6.0 due to the insecure 'administrator' default value for the 'default_user_role' option. This makes it possible for unauthenticated attackers to register an administrator user even if the registration form is disabled.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS