CVE-2025-5486
KrytyczneStreszczenie
Wtyczka WP Email Debug dla WordPressa jest podatna na eskalację uprawnień z powodu braku sprawdzenia uprawnień w funkcji WPMDBUG_handle_settings() w wersjach od 1.0 do 1.1.0. Umożliwia to nieautoryzowanym atakującym włączenie debugowania i wysyłanie wszystkich e-maili na kontrolowany przez atakującego adres, a następnie wywołanie resetu hasła dla konta administratora.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia atakującym uzyskanie dostępu do konta administratora, co może prowadzić do pełnej kontroli nad stroną internetową. W konsekwencji może to skutkować utratą danych, usunięciem treści lub innymi szkodliwymi działaniami.
Rekomendacja
Zaleca się aktualizację wtyczki WP Email Debug do najnowszej wersji, aby usunąć tę podatność. Dodatkowo warto przeprowadzić audyt uprawnień użytkowników oraz monitorować logi w celu wykrycia potencjalnych prób nieautoryzowanego dostępu.
Oryginalny opis (angielski, źródło NVD)
The WP Email Debug plugin for WordPress is vulnerable to privilege escalation due to a missing capability check on the WPMDBUG_handle_settings() function in versions 1.0 to 1.1.0. This makes it possible for unauthenticated attackers to enable debugging and send all emails to an attacker controlled address and then trigger a password reset for an administrator to gain access to an administrator account.

