Katalog CVE

CVE-2025-9286

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka Appy Pie Connect dla WooCommerce w WordPressie jest podatna na eskalację uprawnień z powodu braku autoryzacji w funkcji reset_user_password() w interfejsie REST we wszystkich wersjach do i włącznie z 1.1.2. Umożliwia to nieautoryzowanym atakującym zresetowanie hasła dowolnych użytkowników, w tym administratorów.

Ocena ryzyka

Atakujący mogą uzyskać dostęp administracyjny do systemu, co stwarza poważne zagrożenie dla bezpieczeństwa danych i integralności aplikacji. Może to prowadzić do nieautoryzowanych zmian w konfiguracji oraz dostępu do wrażliwych informacji.

Rekomendacja

Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wprowadzić dodatkowe mechanizmy zabezpieczeń, takie jak ograniczenie dostępu do funkcji resetowania haseł.

Oryginalny opis (angielski, źródło NVD)

The Appy Pie Connect for WooCommerce plugin for WordPress is vulnerable to Privilege Escalation due to missing authorization within the reset_user_password() REST handler in all versions up to, and including, 1.1.2. This makes it possible for unauthenticated attackers to to reset the password of arbitrary users, including administrators, thereby gaining administrative access.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS