CVE-2019-25738
KrytyczneCVSS 9.8Streszczenie
WordPress Hybrid Composer w wersji 1.4.6 zawiera podatność na nieautoryzowaną zmianę ustawień, która pozwala atakującym na modyfikację opcji WordPressa. Wykorzystując akcję hc_ajax_save_option, atakujący mogą wysyłać żądania POST do punktu końcowego admin-ajax.php, co umożliwia włączenie rejestracji użytkowników oraz ustawienie domyślnej roli na administratora.
Ocena ryzyka
Podatność ta stwarza ryzyko przejęcia konta przez nieautoryzowanych użytkowników, co może prowadzić do poważnych naruszeń bezpieczeństwa w organizacji. Atakujący mogą uzyskać pełny dostęp do systemu WordPress, co zagraża integralności danych.
Rekomendacja
Zaleca się aktualizację WordPress Hybrid Composer do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wprowadzić dodatkowe zabezpieczenia, takie jak ograniczenie dostępu do punktu końcowego admin-ajax.php.
Oryginalny opis (angielski, źródło NVD)
WordPress Hybrid Composer 1.4.6 contains an unauthenticated settings change vulnerability that allows unauthenticated attackers to modify WordPress options by exploiting the hc_ajax_save_option action. Attackers can send POST requests to the admin-ajax.php endpoint with the action parameter set to hc_ajax_save_option to enable user registration and set the default role to administrator, enabling account takeover.

