Katalog CVE

CVE-2025-13615

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka StreamTube Core dla WordPressa jest podatna na zmianę hasła użytkownika przez nieautoryzowanych użytkowników w wersjach do 4.78 włącznie. Problem wynika z możliwości kontrolowanego przez użytkownika dostępu do obiektów, co pozwala na ominięcie autoryzacji i dostęp do zasobów systemowych.

Ocena ryzyka

Nieautoryzowani atakujący mogą zmieniać hasła użytkowników, co stwarza ryzyko przejęcia kont administratorów. To może prowadzić do poważnych naruszeń bezpieczeństwa w organizacji.

Rekomendacja

Zaleca się aktualizację wtyczki do najnowszej wersji oraz sprawdzenie, czy pola hasła rejestracji są wyłączone w opcjach motywu, aby zminimalizować ryzyko.

Oryginalny opis (angielski, źródło NVD)

The StreamTube Core plugin for WordPress is vulnerable to Arbitrary User Password Change in versions up to, and including, 4.78. This is due to the plugin providing user-controlled access to objects, letting a user bypass authorization and access system resources. This makes it possible for unauthenticated attackers to change user passwords and potentially take over administrator accounts. Note: This can only be exploited if the 'registration password fields' enabled in theme options.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS