Wtyczka Quentn WP dla WordPress w wersji do 1.2.8 zawiera podatność typu Weak Authentication (CWE-1390), która umożliwia nieuwierzytelnionemu atakującemu eskalację uprawnień. Ocena CVSS 9.8 (Critical) wskazuje na bardzo wysokie ryzyko dla stron opartych na WordPress.
▸ Pokaż oryginał (EN)
Weak Authentication vulnerability in Quentn.com GmbH Quentn WP quentn-wp allows Privilege Escalation.This issue affects Quentn WP: from n/a through <= 1.2.8.
Podatność wynika z nieprawidłowej implementacji mechanizmów uwierzytelniania w wtyczce Quentn WP. Słaba weryfikacja tożsamości pozwala zewnętrznemu atakującemu — bez posiadania jakichkolwiek poświadczeń — na obejście kontroli dostępu i uzyskanie wyższych uprawnień w obrębie aplikacji WordPress. Wektor ataku jest sieciowy, nie wymaga interakcji użytkownika ani specjalnych warunków środowiskowych.
Atakujący może dokonać eskalacji uprawnień (privilege escalation), potencjalnie uzyskując uprawnienia administratora WordPress, co prowadzi do pełnego przejęcia kontroli nad witryną, w tym kradzieży danych, modyfikacji treści lub instalacji złośliwego oprogramowania.
Należy niezwłocznie zaktualizować wtyczkę Quentn WP do wersji wyższej niż 1.2.8. Szczegóły dotyczące patcha dostępne są w referencjach producenta oraz w bazie Patchstack. Jeśli aktualizacja nie jest jeszcze dostępna, należy rozważyć tymczasowe wyłączenie wtyczki.
Wtyczka Quentn WP (quentn-wp) autorstwa Quentn.com GmbH we wszystkich wersjach od n/a do 1.2.8 włącznie, zainstalowana na stronach WordPress.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H