Katalog CVE

CVE-2024-9933

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka WatchTowerHQ dla WordPressa jest podatna na obejście uwierzytelniania w wersjach do 3.10.1 włącznie. Problem wynika z domyślnej pustej wartości 'watchtower_ota_token' oraz braku sprawdzenia, czy wartość ta jest niepusta w funkcji 'Password_Less_Access::login'.

Ocena ryzyka

Atakujący bez uwierzytelnienia mogą uzyskać dostęp do konta administratora klienta WatchTowerHQ, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.

Rekomendacja

Zaleca się aktualizację wtyczki WatchTowerHQ do najnowszej wersji, aby usunąć tę podatność oraz wprowadzenie dodatkowych środków zabezpieczających dla kont administratorów.

Oryginalny opis (angielski, źródło NVD)

The WatchTowerHQ plugin for WordPress is vulnerable to authentication bypass in versions up to, and including, 3.10.1. This is due to the 'watchtower_ota_token' default value is empty, and the not empty check is missing in the 'Password_Less_Access::login' function. This makes it possible for unauthenticated attackers to log in to the WatchTowerHQ client administrator user.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS