CVE-2024-9863
KrytyczneStreszczenie
Wtyczka Miniorange OTP Verification with Firebase dla WordPressa jest podatna na eskalację uprawnień w wersjach do 3.6.0 włącznie, z powodu niebezpiecznej domyślnej wartości 'administrator' dla opcji 'default_user_role'. Umożliwia to nieautoryzowanym atakującym rejestrację użytkownika z uprawnieniami administratora, nawet jeśli formularz rejestracji jest wyłączony.
Ocena ryzyka
Organizacja może być narażona na nieautoryzowany dostęp do konta administratora, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych.
Rekomendacja
Zaleca się aktualizację wtyczki do najnowszej wersji oraz sprawdzenie i zaktualizowanie opcji 'default_user_role' w celu zminimalizowania ryzyka eskalacji uprawnień.
Oryginalny opis (angielski, źródło NVD)
The Miniorange OTP Verification with Firebase plugin for WordPress is vulnerable to privilege escalation in versions up to, and including, 3.6.0 due to the insecure 'administrator' default value for the 'default_user_role' option. This makes it possible for unauthenticated attackers to register an administrator user even if the registration form is disabled.

