Katalog CVE

CVE-2025-10294

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka OwnID Passwordless Login dla WordPressa jest podatna na obejście uwierzytelnienia we wszystkich wersjach do i włącznie z 1.3.4. Problem wynika z niewłaściwego sprawdzania, czy wartość ownid_shared_secret jest pusta przed uwierzytelnieniem użytkownika za pomocą JWT.

Ocena ryzyka

Atakujący, który nie jest uwierzytelniony, może zalogować się jako inny użytkownik, w tym administrator, na instancjach, gdzie wtyczka nie została w pełni skonfigurowana. To stwarza poważne ryzyko dla bezpieczeństwa systemu.

Rekomendacja

Zaleca się aktualizację wtyczki do najnowszej wersji oraz upewnienie się, że konfiguracja wtyczki jest poprawna, aby zminimalizować ryzyko nieautoryzowanego dostępu.

Oryginalny opis (angielski, źródło NVD)

The OwnID Passwordless Login plugin for WordPress is vulnerable to Authentication Bypass in all versions up to, and including, 1.3.4. This is due to the plugin not properly checking if the ownid_shared_secret value is empty prior to authenticating a user via JWT. This makes it possible for unauthenticated attackers to log in as other users, including administrators, on instances where the plugin has not been fully configured yet.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS