Katalog CVE

CVE-2019-25763

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.43%

Percentyl 34 — wyżej niż 34% wszystkich znanych CVE

Streszczenie

Wtyczka WordPress Ultimate Addons for Beaver Builder w wersji 1.2.4.1 zawiera lukę umożliwiającą obejście uwierzytelniania, co pozwala atakującym na uzyskanie nieautoryzowanego dostępu poprzez wykorzystanie funkcji logowania za pomocą mediów społecznościowych.

Ocena ryzyka

Atakujący mogą uzyskać dostęp do konta administratora, co stwarza poważne zagrożenie dla bezpieczeństwa całej witryny.

Rekomendacja

Zaleca się aktualizację wtyczki do najnowszej wersji oraz monitorowanie logów dostępu w celu wykrycia nieautoryzowanych prób logowania.

Oryginalny opis (angielski, źródło NVD)

WordPress Ultimate Addons for Beaver Builder 1.2.4.1 contains an authentication bypass vulnerability that allows attackers to gain unauthorized access by exploiting the social media login form functionality. Attackers can submit a POST request to the admin-ajax.php endpoint with the uabb-lf-google-submit action, a valid administrator email address, and a valid nonce to obtain session cookies and authenticate as that user.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS