Katalog CVE

CVE-2025-13613

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka Elated Membership dla WordPressa jest podatna na obejście uwierzytelniania we wszystkich wersjach do i włącznie z 1.2. Problem wynika z niewłaściwego logowania użytkownika z danymi wcześniej zweryfikowanymi przez funkcje 'eltdf_membership_check_facebook_user' oraz 'eltdf_membership_login_user_from_social_network'.

Ocena ryzyka

Atakujący bez uwierzytelnienia mogą zalogować się jako użytkownicy administracyjni, o ile mają istniejące konto na stronie, które można łatwo utworzyć za pomocą funkcji tymczasowego użytkownika oraz mają dostęp do adresu e-mail użytkownika administracyjnego.

Rekomendacja

Zaleca się aktualizację wtyczki Elated Membership do najnowszej wersji, aby usunąć tę podatność oraz monitorowanie kont użytkowników w celu wykrycia nieautoryzowanych logowań.

Oryginalny opis (angielski, źródło NVD)

The Elated Membership plugin for WordPress is vulnerable to Authentication Bypass in all versions up to, and including, 1.2. This is due to the plugin not properly logging in a user with the data that was previously verified through the 'eltdf_membership_check_facebook_user' and the 'eltdf_membership_login_user_from_social_network' function. This makes it possible for unauthenticated attackers to log in as administrative users, as long as they have an existing account on the site which can easily be created by default through the temp user functionality, and access to the administrative user's email.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS