Katalog CVE

CVE-2025-2253

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka IMITHEMES Listing jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do i włącznie z 3.3. Problem wynika z niewłaściwej walidacji wartości kodu weryfikacyjnego przed aktualizacją hasła przez funkcję imic_reset_password_init().

Ocena ryzyka

Atakujący bez uwierzytelnienia mogą zmienić hasła dowolnych użytkowników, w tym administratorów, jeśli znany jest adres e-mail użytkownika. To stwarza poważne zagrożenie dla bezpieczeństwa systemu.

Rekomendacja

Zaleca się aktualizację wtyczki do najnowszej wersji oraz wdrożenie dodatkowych mechanizmów weryfikacji przy zmianie haseł, aby zminimalizować ryzyko przejęcia konta.

Oryginalny opis (angielski, źródło NVD)

The IMITHEMES Listing plugin is vulnerable to privilege escalation via account takeover in all versions up to, and including, 3.3. This is due to the plugin not properly validating a verification code value prior to updating their password through the imic_reset_password_init() function. This makes it possible for unauthenticated attackers to change any user's passwords, including administrators if the users email is known.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS