CVE-2025-4104
KrytyczneStreszczenie
Wtyczka Frontend Dashboard dla WordPressa jest podatna na eskalację uprawnień z powodu braku sprawdzenia uprawnień w funkcji fed_wp_ajax_fed_login_form_post() w wersjach od 1.0 do 2.2.6. Umożliwia to nieautoryzowanym atakującym zresetowanie adresu e-mail i hasła administratora oraz podniesienie swoich uprawnień do poziomu administratora.
Ocena ryzyka
Atakujący mogą uzyskać pełny dostęp do konta administratora, co stwarza poważne zagrożenie dla bezpieczeństwa całej witryny. Może to prowadzić do nieautoryzowanych zmian w ustawieniach oraz wycieku danych.
Rekomendacja
Zaleca się aktualizację wtyczki Frontend Dashboard do najnowszej wersji, aby usunąć tę podatność. Dodatkowo warto przeprowadzić audyt uprawnień użytkowników oraz monitorować logi w celu wykrycia nieautoryzowanych działań.
Oryginalny opis (angielski, źródło NVD)
The Frontend Dashboard plugin for WordPress is vulnerable to Privilege Escalation due to a missing capability check on the fed_wp_ajax_fed_login_form_post() function in versions 1.0 to 2.2.6. This makes it possible for unauthenticated attackers to reset the administrator’s email and password, and elevate their privileges to that of an administrator.

