Katalog CVE

CVE-2025-6441

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka WebinarIgnition dla WordPressa jest podatna na generowanie tokenów logowania bez uwierzytelnienia z powodu braku sprawdzenia uprawnień w funkcjach `webinarignition_sign_in_support_staff` oraz `webinarignition_register_support` we wszystkich wersjach do 4.03.32 włącznie. Umożliwia to nieautoryzowanym atakującym generowanie tokenów logowania dla dowolnych użytkowników WordPressa w określonych okolicznościach.

Ocena ryzyka

Podatność ta stwarza ryzyko obejścia uwierzytelnienia, co może prowadzić do nieautoryzowanego dostępu do kont użytkowników WordPressa. Może to skutkować poważnymi konsekwencjami dla bezpieczeństwa danych w organizacji.

Rekomendacja

Zaleca się aktualizację wtyczki WebinarIgnition do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa użytkowników i ich uprawnień w systemie WordPress.

Oryginalny opis (angielski, źródło NVD)

The Webinar Solution: Create live/evergreen/automated/instant webinars, stream & Zoom Meetings | WebinarIgnition plugin for WordPress is vulnerable to unauthenticated login token generation due to a missing capability check on the `webinarignition_sign_in_support_staff` and `webinarignition_register_support` functions in all versions up to, and including, 4.03.32. This makes it possible for unauthenticated attackers to generate login tokens for arbitrary WordPress users under certain circumstances, issuing authorization cookies which can lead to authentication bypass.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS