Katalog CVE

CVE-2025-3605

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka Frontend Login and Registration Blocks dla WordPress jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do 1.1.1 włącznie. Problem wynika z braku odpowiedniej weryfikacji tożsamości użytkownika przed aktualizacją jego danych, takich jak adres e-mail.

Ocena ryzyka

Atakujący bez uwierzytelnienia mogą zmieniać adresy e-mail dowolnych użytkowników, w tym administratorów, co pozwala na zresetowanie hasła i uzyskanie dostępu do konta. To stwarza poważne zagrożenie dla bezpieczeństwa organizacji.

Rekomendacja

Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wprowadzić dodatkowe mechanizmy weryfikacji tożsamości użytkowników przed zmianą ich danych.

Oryginalny opis (angielski, źródło NVD)

The Frontend Login and Registration Blocks plugin for WordPress is vulnerable to privilege escalation via account takeover in all versions up to, and including, 1.1.1. This is due to the plugin not properly validating a user's identity prior to updating their details like email via the flr_blocks_user_settings_handle_ajax_callback() function. This makes it possible for unauthenticated attackers to change arbitrary user's email addresses, including administrators, and leverage that to reset the user's password and gain access to their account.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS