Katalog CVE

CVE-2025-1475

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka WPCOM Member dla WordPressa jest podatna na obejście uwierzytelnienia we wszystkich wersjach do i włącznie z 1.7.5. Problem wynika z niewystarczającej weryfikacji parametru 'user_phone' podczas logowania.

Ocena ryzyka

Atakujący bez uwierzytelnienia mogą zalogować się jako dowolny istniejący użytkownik na stronie, w tym administrator, jeśli włączona jest opcja logowania przez SMS. To stwarza poważne zagrożenie dla bezpieczeństwa systemu.

Rekomendacja

Zaleca się aktualizację wtyczki WPCOM Member do najnowszej wersji, aby usunąć tę podatność. Dodatkowo warto rozważyć wyłączenie logowania przez SMS do czasu załatwienia problemu.

Oryginalny opis (angielski, źródło NVD)

The WPCOM Member plugin for WordPress is vulnerable to authentication bypass in all versions up to, and including, 1.7.5. This is due to insufficient verification on the 'user_phone' parameter when logging in. This makes it possible for unauthenticated attackers to log in as any existing user on the site, such as an administrator, if SMS login is enabled.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS