CVE-2025-14736
KrytyczneStreszczenie
Wtyczka Frontend Admin autorstwa DynamiApps dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 3.28.29 włącznie. Problem wynika z niewystarczającej walidacji wartości ról dostarczanych przez użytkowników w funkcjach 'validate_value', 'pre_update_value' oraz 'get_fields_display'.
Ocena ryzyka
Atakujący bez uwierzytelnienia mogą zarejestrować się jako administratorzy, co pozwala im na pełną kontrolę nad stroną, jeśli mają dostęp do formularza rejestracji użytkownika zawierającego pole Rola.
Rekomendacja
Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność oraz wprowadzenie dodatkowych mechanizmów zabezpieczających formularze rejestracji użytkowników.
Oryginalny opis (angielski, źródło NVD)
The Frontend Admin by DynamiApps plugin for WordPress is vulnerable to Privilege Escalation in all versions up to, and including, 3.28.29. This is due to insufficient validation of user-supplied role values in the 'validate_value', 'pre_update_value', and 'get_fields_display' functions. This makes it possible for unauthenticated attackers to register as administrators and gain complete control of the site, granted they can access a user registration form containing a Role field.

