Katalog CVE

CVE-2025-14741

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka Frontend Admin autorstwa DynamiApps dla WordPressa jest podatna na brak autoryzacji, co umożliwia nieautoryzowanym użytkownikom modyfikację i usuwanie danych. Problem wynika z braku sprawdzenia uprawnień w funkcji 'delete_object' we wszystkich wersjach do 3.28.25 włącznie.

Ocena ryzyka

Brak odpowiednich zabezpieczeń pozwala nieautoryzowanym atakującym na usuwanie dowolnych postów, stron, produktów, terminów taksonomii oraz kont użytkowników, co może prowadzić do poważnych strat danych i naruszenia integralności systemu.

Rekomendacja

Zaleca się aktualizację wtyczki Frontend Admin do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów autoryzacji dla operacji usuwania danych.

Oryginalny opis (angielski, źródło NVD)

The Frontend Admin by DynamiApps plugin for WordPress is vulnerable to missing authorization to unauthorized data modification and deletion due to a missing capability check on the 'delete_object' function in all versions up to, and including, 3.28.25. This makes it possible for unauthenticated attackers to delete arbitrary posts, pages, products, taxonomy terms, and user accounts.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS