Katalog CVE

CVE-2025-6895

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka Melapress Login Security dla WordPressa jest podatna na obejście uwierzytelniania z powodu braku autoryzacji w funkcji get_valid_user_based_on_token() w wersjach od 2.1.0 do 2.1.1. Umożliwia to nieautoryzowanym atakującym, którzy znają dowolną wartość meta użytkownika, ominięcie kontroli uwierzytelniania i zalogowanie się jako ten użytkownik.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla bezpieczeństwa, ponieważ pozwala atakującym na uzyskanie dostępu do kont użytkowników bez odpowiednich uprawnień. Może to prowadzić do nieautoryzowanego dostępu do danych i funkcji w systemie.

Rekomendacja

Zaleca się aktualizację wtyczki Melapress Login Security do najnowszej wersji, aby usunąć tę podatność. Dodatkowo warto przeprowadzić audyt kont użytkowników w celu wykrycia potencjalnych nieautoryzowanych logowań.

Oryginalny opis (angielski, źródło NVD)

The Melapress Login Security plugin for WordPress is vulnerable to Authentication Bypass due to missing authorization within the get_valid_user_based_on_token() function in versions 2.1.0 to 2.1.1. This makes it possible for unauthenticated attackers who know an arbitrary user meta value to bypass authentication checks and log in as that user.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS