Katalog CVE

CVE-2025-14736

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka Frontend Admin autorstwa DynamiApps dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 3.28.29 włącznie. Problem wynika z niewystarczającej walidacji wartości ról dostarczanych przez użytkowników w funkcjach 'validate_value', 'pre_update_value' oraz 'get_fields_display'.

Ocena ryzyka

Atakujący bez uwierzytelnienia mogą zarejestrować się jako administratorzy, co pozwala im na pełną kontrolę nad stroną, jeśli mają dostęp do formularza rejestracji użytkownika zawierającego pole Rola.

Rekomendacja

Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność oraz wprowadzenie dodatkowych mechanizmów zabezpieczających formularze rejestracji użytkowników.

Oryginalny opis (angielski, źródło NVD)

The Frontend Admin by DynamiApps plugin for WordPress is vulnerable to Privilege Escalation in all versions up to, and including, 3.28.29. This is due to insufficient validation of user-supplied role values in the 'validate_value', 'pre_update_value', and 'get_fields_display' functions. This makes it possible for unauthenticated attackers to register as administrators and gain complete control of the site, granted they can access a user registration form containing a Role field.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS