Katalog CVE

CVE-2019-25738

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

WordPress Hybrid Composer w wersji 1.4.6 zawiera podatność na nieautoryzowaną zmianę ustawień, która pozwala atakującym na modyfikację opcji WordPressa. Wykorzystując akcję hc_ajax_save_option, atakujący mogą wysyłać żądania POST do punktu końcowego admin-ajax.php, co umożliwia włączenie rejestracji użytkowników oraz ustawienie domyślnej roli na administratora.

Ocena ryzyka

Podatność ta stwarza ryzyko przejęcia konta przez nieautoryzowanych użytkowników, co może prowadzić do poważnych naruszeń bezpieczeństwa w organizacji. Atakujący mogą uzyskać pełny dostęp do systemu WordPress, co zagraża integralności danych.

Rekomendacja

Zaleca się aktualizację WordPress Hybrid Composer do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wprowadzić dodatkowe zabezpieczenia, takie jak ograniczenie dostępu do punktu końcowego admin-ajax.php.

Oryginalny opis (angielski, źródło NVD)

WordPress Hybrid Composer 1.4.6 contains an unauthenticated settings change vulnerability that allows unauthenticated attackers to modify WordPress options by exploiting the hc_ajax_save_option action. Attackers can send POST requests to the admin-ajax.php endpoint with the action parameter set to hc_ajax_save_option to enable user registration and set the default role to administrator, enabling account takeover.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS