CVE-2025-6441
KrytyczneStreszczenie
Wtyczka WebinarIgnition dla WordPressa jest podatna na generowanie tokenów logowania bez uwierzytelnienia z powodu braku sprawdzenia uprawnień w funkcjach `webinarignition_sign_in_support_staff` oraz `webinarignition_register_support` we wszystkich wersjach do 4.03.32 włącznie. Umożliwia to nieautoryzowanym atakującym generowanie tokenów logowania dla dowolnych użytkowników WordPressa w określonych okolicznościach.
Ocena ryzyka
Podatność ta stwarza ryzyko obejścia uwierzytelnienia, co może prowadzić do nieautoryzowanego dostępu do kont użytkowników WordPressa. Może to skutkować poważnymi konsekwencjami dla bezpieczeństwa danych w organizacji.
Rekomendacja
Zaleca się aktualizację wtyczki WebinarIgnition do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa użytkowników i ich uprawnień w systemie WordPress.
Oryginalny opis (angielski, źródło NVD)
The Webinar Solution: Create live/evergreen/automated/instant webinars, stream & Zoom Meetings | WebinarIgnition plugin for WordPress is vulnerable to unauthenticated login token generation due to a missing capability check on the `webinarignition_sign_in_support_staff` and `webinarignition_register_support` functions in all versions up to, and including, 4.03.32. This makes it possible for unauthenticated attackers to generate login tokens for arbitrary WordPress users under certain circumstances, issuing authorization cookies which can lead to authentication bypass.

