CVE-2025-2237
KrytyczneStreszczenie
Wtyczka WP RealEstate dla WordPressa, używana w motywie Homeo, jest podatna na eskalację uprawnień we wszystkich wersjach do i włącznie z 1.6.26. Problem wynika z niewystarczających ograniczeń ról w funkcji 'process_register', co umożliwia nieautoryzowanym atakującym rejestrację konta z rolą Administratora.
Ocena ryzyka
Organizacja narażona jest na ryzyko, że nieautoryzowani użytkownicy mogą uzyskać dostęp do konta Administratora, co może prowadzić do pełnej kontroli nad witryną. To stwarza poważne zagrożenie dla bezpieczeństwa danych i integralności systemu.
Rekomendacja
Zaleca się aktualizację wtyczki WP RealEstate do najnowszej wersji, aby usunąć tę podatność. Dodatkowo warto wprowadzić dodatkowe środki zabezpieczające, takie jak ograniczenie rejestracji kont do zaufanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
The WP RealEstate plugin for WordPress, used by the Homeo theme, is vulnerable to privilege escalation in all versions up to, and including, 1.6.26. This is due to insufficient role restrictions in the 'process_register' function. This makes it possible for unauthenticated attackers to register an account with the Administrator role.

