CVE-2024-9933
KrytyczneStreszczenie
Wtyczka WatchTowerHQ dla WordPressa jest podatna na obejście uwierzytelniania w wersjach do 3.10.1 włącznie. Problem wynika z domyślnej pustej wartości 'watchtower_ota_token' oraz braku sprawdzenia, czy wartość ta jest niepusta w funkcji 'Password_Less_Access::login'.
Ocena ryzyka
Atakujący bez uwierzytelnienia mogą uzyskać dostęp do konta administratora klienta WatchTowerHQ, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.
Rekomendacja
Zaleca się aktualizację wtyczki WatchTowerHQ do najnowszej wersji, aby usunąć tę podatność oraz wprowadzenie dodatkowych środków zabezpieczających dla kont administratorów.
Oryginalny opis (angielski, źródło NVD)
The WatchTowerHQ plugin for WordPress is vulnerable to authentication bypass in versions up to, and including, 3.10.1. This is due to the 'watchtower_ota_token' default value is empty, and the not empty check is missing in the 'Password_Less_Access::login' function. This makes it possible for unauthenticated attackers to log in to the WatchTowerHQ client administrator user.

