Katalog CVE

CVE-2025-10742

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka Truelysell Core dla WordPressa jest podatna na nieautoryzowaną zmianę haseł użytkowników w wersjach do 1.8.6 włącznie. Problem wynika z udostępnienia przez wtyczkę dostępu do obiektów kontrolowanego przez użytkownika, co pozwala na ominięcie autoryzacji i dostęp do zasobów systemowych.

Ocena ryzyka

Atakujący bez uwierzytelnienia może zmienić hasła użytkowników, co stwarza ryzyko przejęcia kont administratorów. To może prowadzić do poważnych naruszeń bezpieczeństwa w organizacji.

Rekomendacja

Zaleca się aktualizację wtyczki Truelysell Core do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto ograniczyć dostęp do stron zawierających shortcode 'truelysell_edit_staff'.

Oryginalny opis (angielski, źródło NVD)

The Truelysell Core plugin for WordPress is vulnerable to Arbitrary User Password Change in versions up to, and including, 1.8.6. This is due to the plugin providing user-controlled access to objects, letting a user bypass authorization and access system resources. This makes it possible for unauthenticated attackers to change user passwords and potentially take over administrator accounts. Note: This can only be exploited unauthenticated if the attacker knows which page contains the 'truelysell_edit_staff' shortcode.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS