CVE-2025-11127
KrytyczneStreszczenie
Wtyczka Mstoreapp Mobile App dla WordPressa w wersjach do 2.08 oraz Mstoreapp Mobile Multivendor do 9.0.1 nie weryfikuje poprawnie tożsamości użytkowników podczas korzystania z akcji AJAX. Umożliwia to nieautoryzowanym użytkownikom uzyskanie ważnej sesji dla dowolnych użytkowników, znając ich adres e-mail.
Ocena ryzyka
Ryzyko związane z tą podatnością polega na możliwości przejęcia sesji innych użytkowników, co może prowadzić do nieautoryzowanego dostępu do ich danych i działań w systemie. Organizacje mogą być narażone na kradzież danych oraz utratę zaufania użytkowników.
Rekomendacja
Zaleca się aktualizację wtyczek Mstoreapp Mobile App i Mstoreapp Mobile Multivendor do najnowszych wersji, które poprawiają weryfikację tożsamości użytkowników. Dodatkowo warto rozważyć wdrożenie dodatkowych mechanizmów zabezpieczeń, takich jak ograniczenie dostępu do akcji AJAX.
Oryginalny opis (angielski, źródło NVD)
The Mstoreapp Mobile App WordPress plugin through 2.08 and Mstoreapp Mobile Multivendor through 9.0.1 do not properly verify users identify when using an AJAX action, allowing unauthenticated users to retrieve a valid session for arbitrary users by knowing their email address.

