Katalog CVE

CVE-2026-5118

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka Divi Form Builder dla WordPressa jest podatna na eskalację uprawnień w wersjach do 5.1.2 włącznie. Problem wynika z akceptacji parametru 'role' kontrolowanego przez użytkownika z danych POST podczas rejestracji użytkownika, bez jego walidacji względem ustawienia default_user_role formularza.

Ocena ryzyka

Atakujący bez uwierzytelnienia mogą stworzyć konta administratorów, manipulując parametrem roli podczas rejestracji, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.

Rekomendacja

Zaleca się aktualizację wtyczki Divi Form Builder do najnowszej wersji oraz wdrożenie walidacji parametru 'role' podczas rejestracji użytkowników.

Oryginalny opis (angielski, źródło NVD)

The Divi Form Builder plugin for WordPress is vulnerable to privilege escalation in versions up to, and including, 5.1.2. This is due to the plugin accepting a user-controlled 'role' parameter from POST data during user registration without validating it against the form's configured default_user_role setting. This makes it possible for unauthenticated attackers to create administrator accounts by tampering with the role parameter during registration.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS