CVE-2025-14741
KrytyczneStreszczenie
Wtyczka Frontend Admin autorstwa DynamiApps dla WordPressa jest podatna na brak autoryzacji, co umożliwia nieautoryzowanym użytkownikom modyfikację i usuwanie danych. Problem wynika z braku sprawdzenia uprawnień w funkcji 'delete_object' we wszystkich wersjach do 3.28.25 włącznie.
Ocena ryzyka
Brak odpowiednich zabezpieczeń pozwala nieautoryzowanym atakującym na usuwanie dowolnych postów, stron, produktów, terminów taksonomii oraz kont użytkowników, co może prowadzić do poważnych strat danych i naruszenia integralności systemu.
Rekomendacja
Zaleca się aktualizację wtyczki Frontend Admin do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów autoryzacji dla operacji usuwania danych.
Oryginalny opis (angielski, źródło NVD)
The Frontend Admin by DynamiApps plugin for WordPress is vulnerable to missing authorization to unauthorized data modification and deletion due to a missing capability check on the 'delete_object' function in all versions up to, and including, 3.28.25. This makes it possible for unauthenticated attackers to delete arbitrary posts, pages, products, taxonomy terms, and user accounts.

