Wtyczka Build App Online (do wersji 1.0.19 włącznie) dla WordPress zawiera krytyczną lukę w uwierzytelnianiu, umożliwiającą nieuwierzytelnionemu atakującemu przejęcie kont użytkowników. Podatność jest oceniana jako krytyczna (CVSS 9.8) i nie wymaga żadnych uprawnień ani interakcji użytkownika.
▸ Pokaż oryginał (EN)
Improper Authentication vulnerability in Abdul Hakeem Build App Online allows Privilege Escalation.This issue affects Build App Online: from n/a through 1.0.19.
Błąd wynika z nieprawidłowej implementacji mechanizmu uwierzytelniania (CWE-287) oraz braku wymagania uwierzytelnienia dla krytycznych funkcji (CWE-306). Atakujący zdalnie, bez posiadania jakichkolwiek poświadczeń, może ominąć procedury weryfikacji tożsamości i uzyskać dostęp do chronionych zasobów lub funkcji wtyczki. W efekcie możliwe jest przejęcie istniejących kont użytkowników bez ich wiedzy i zgody.
Atakujący może dokonać nieautoryzowanego przejęcia kont (account takeover) oraz eskalować swoje uprawnienia (privilege escalation), co w praktyce może oznaczać uzyskanie pełnej kontroli nad witryną WordPress, włącznie z kontem administratora.
Należy zaktualizować wtyczkę Build App Online do wersji wyższej niż 1.0.19. Jeśli aktualizacja nie jest dostępna, należy niezwłocznie dezaktywować i usunąć wtyczkę, a następnie śledzić informacje u producenta oraz w bazie Patchstack w celu uzyskania łatki.
Wtyczka WordPress Build App Online autorstwa Abdul Hakeem, wersje od początku do 1.0.19 włącznie.
Podatność została udokumentowana przez Patchstack jako unauthenticated account takeover. Dotyczy wtyczki WordPress Build App Online w wersjach do 1.0.19 włącznie.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HBuildapp Build App Online
APPBuildapp< 1.0.20
Powiązane podatności
PHP Local File Inclusion w wtyczce WordPress Build App Online
The Build App Online plugin for WordPress is vulnerable to account takeover due to a weak password reset mecha...
Improper Privilege Management vulnerability in Abdul Hakeem Build App Online allows Privilege Escalation.This ...
Cross-Site Request Forgery (CSRF) vulnerability in hakeemnala Build App Online build-app-online allows Cross S...