CRITICAL✓ PATCH🇬🇧 English

CVE-2023-35039

Brak limitu prób uwierzytelnienia w pluginie Password Reset with Code dla WordPress

CVSS 9.8v3.1pub. 2023-12-07upd. 2026-04-28

Plugin 'Password Reset with Code for WordPress REST API' w wersji do 0.0.15 włącznie nie ogranicza liczby prób uwierzytelnienia podczas resetowania hasła, co pozwala atakującemu na nadużycie mechanizmu autoryzacji. Podatność uzyskała krytyczny wynik CVSS 9.8, co wskazuje na poważne zagrożenie dla bezpieczeństwa witryn WordPress.

Pokaż oryginał (EN)

Improper Restriction of Excessive Authentication Attempts vulnerability in Be Devious Web Development Password Reset with Code for WordPress REST API allows Authentication Abuse.This issue affects Password Reset with Code for WordPress REST API: from n/a through 0.0.15.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-307 polega na braku odpowiedniego ograniczenia liczby prób weryfikacji kodu resetowania hasła przesyłanego przez WordPress REST API. Atakujący może przeprowadzić atak brute-force na kod resetowania hasła, wielokrotnie wysyłając żądania do API bez żadnego mechanizmu blokady lub spowolnienia. W połączeniu z potencjalnie słabą generacją kodu PIN (wskazaną w referencjach), skuteczne odgadnięcie kodu daje atakującemu możliwość przejęcia dowolnego konta użytkownika.

Skutki

Atakujący bez żadnego uwierzytelnienia może przejąć kontrolę nad dowolnym kontem użytkownika WordPress, w tym kontem administratora, co prowadzi do pełnego naruszenia poufności, integralności i dostępności witryny.

Mitygacja

Należy zaktualizować plugin 'Password Reset with Code for WordPress REST API' do wersji wyższej niż 0.0.15. Szczegółowe informacje o dostępnych patchach dostępne są w referencjach producenta oraz w bazie Patchstack.

Kogo dotyczy

Plugin 'Password Reset with Code for WordPress REST API' autorstwa Be Devious Web Development, wersje od początku do 0.0.15 włącznie.

Uwagi

Według referencji Patchstack podatność wiąże się również ze słabą generacją kodu PIN (weak PIN generation), co dodatkowo ułatwia przeprowadzenie skutecznego ataku brute-force.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Bedevious Password Reset With Code For WordPress Rest Api

    APP
    Bedevious
    < 0.0.16
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje
CVE-2023-35039 — Brak limitu prób uwierzytelnienia w pluginie Password Reset with Code dla WordPress — CRITICAL 9.8 | CVEbaza.pl