CVE-2025-10294
KrytyczneStreszczenie
Wtyczka OwnID Passwordless Login dla WordPressa jest podatna na obejście uwierzytelnienia we wszystkich wersjach do i włącznie z 1.3.4. Problem wynika z niewłaściwego sprawdzania, czy wartość ownid_shared_secret jest pusta przed uwierzytelnieniem użytkownika za pomocą JWT.
Ocena ryzyka
Atakujący, który nie jest uwierzytelniony, może zalogować się jako inny użytkownik, w tym administrator, na instancjach, gdzie wtyczka nie została w pełni skonfigurowana. To stwarza poważne ryzyko dla bezpieczeństwa systemu.
Rekomendacja
Zaleca się aktualizację wtyczki do najnowszej wersji oraz upewnienie się, że konfiguracja wtyczki jest poprawna, aby zminimalizować ryzyko nieautoryzowanego dostępu.
Oryginalny opis (angielski, źródło NVD)
The OwnID Passwordless Login plugin for WordPress is vulnerable to Authentication Bypass in all versions up to, and including, 1.3.4. This is due to the plugin not properly checking if the ownid_shared_secret value is empty prior to authenticating a user via JWT. This makes it possible for unauthenticated attackers to log in as other users, including administrators, on instances where the plugin has not been fully configured yet.

