CRITICAL🇬🇧 English

CVE-2025-3604

Flynax Bridge dla WordPress — przejęcie konta przez zmianę adresu e-mail

CVSS 9.8v3.1pub. 2025-04-24upd. 2026-04-08

Wtyczka Flynax Bridge dla WordPress w wersjach do 2.2.0 włącznie umożliwia nieuwierzytelnionemu atakującemu przejęcie dowolnego konta użytkownika, w tym administratora. Podatność ma ocenę CVSS 9.8 i może prowadzić do pełnego przejęcia kontroli nad witryną WordPress.

Pokaż oryginał (EN)

The Flynax Bridge plugin for WordPress is vulnerable to privilege escalation via account takeover in all versions up to, and including, 2.2.0. This is due to the plugin not properly validating a user's identity prior to updating their details like email. This makes it possible for unauthenticated attackers to change arbitrary user's email addresses, including administrators, and leverage that to reset the user's password and gain access to their account.

🤖 Analiza AI
Jak działa

Plugin nie weryfikuje prawidłowo tożsamości użytkownika przed aktualizacją jego danych, w tym adresu e-mail. Atakujący bez żadnego uwierzytelnienia może zmienić adres e-mail dowolnego konta — łącznie z kontami administratorów. Po zmianie adresu e-mail atakujący inicjuje standardową procedurę resetowania hasła, która wysyła link resetujący na nowo ustawiony adres, co pozwala mu ostatecznie przejąć pełną kontrolę nad kontem.

Skutki

Atakujący może przejąć konto administratora WordPress, uzyskując pełny dostęp do witryny, w tym możliwość instalowania wtyczek, modyfikowania treści oraz eskalacji uprawnień do poziomu administratora (privilege escalation).

Mitygacja

Należy zaktualizować wtyczkę Flynax Bridge do wersji wyższej niż 2.2.0. Zgodnie z dostępnym changesetem poprawka została wprowadzona w repozytorium wtyczki (changeset 3306501). Należy zastosować patche dostępne u producenta zgodnie z referencjami.

Kogo dotyczy

Wtyczka Flynax Bridge dla WordPress we wszystkich wersjach do 2.2.0 włącznie.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Flynax Bridge

    APP
    Flynax
    ≤ 2.2.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth BypassLPE
CWE
Referencje

Powiązane podatności

CVE-2025-3603CRITICAL9.8PL ✓ten sam produkt

Flynax Bridge dla WordPress — privilege escalation przez przejęcie konta

CVE-2025-4179HIGH7.3ten sam produkt

The Flynax Bridge plugin for WordPress is vulnerable to limited Privilege Escalation due to a missing capabili...

CVE-2025-4177MEDIUM5.3ten sam produkt

The Flynax Bridge plugin for WordPress is vulnerable to unauthorized loss of data due to a missing capability ...

CVE-2025-3604 — Flynax Bridge dla WordPress — przejęcie konta przez zmianę adresu e-mail — CRITICAL 9.8 | CVEbaza.pl