CRITICAL✓ PATCH🇬🇧 English

CVE-2025-54049

Privilege Escalation w wtyczce Custom API for WP (miniOrange) – CVSS 9.9

CVSS 9.9v3.1pub. 2025-08-20upd. 2026-04-23

Krytyczna podatność typu privilege escalation w wtyczce WordPress 'Custom API for WP' autorstwa miniOrange pozwala zalogowanemu użytkownikowi o niskich uprawnieniach na nieautoryzowane podwyższenie swoich uprawnień w systemie. Ze względu na wynik CVSS 9.9 i zmieniony zakres oddziaływania (Scope: Changed), podatność stanowi poważne zagrożenie dla bezpieczeństwa witryn WordPress.

Pokaż oryginał (EN)

Incorrect Privilege Assignment vulnerability in miniOrange Custom API for WP custom-api-for-wp allows Privilege Escalation.This issue affects Custom API for WP: from n/a through <= 4.2.2.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowego przypisania uprawnień (CWE-266) w kodzie wtyczki Custom API for WP w wersjach do 4.2.2 włącznie. Uwierzytelniony atakujący z minimalnymi uprawnieniami może wykorzystać błędną logikę kontroli dostępu udostępnioną przez wtyczkę, aby uzyskać wyższe uprawnienia niż mu przysługują. Wektor sieciowy (AV:N) i brak wymagań co do złożoności ataku (AC:L) oraz interakcji użytkownika (UI:N) sprawiają, że exploit można przeprowadzić zdalnie w prosty sposób.

Skutki

Atakujący może uzyskać podwyższone uprawnienia w obrębie witryny lub środowiska WordPress, co w praktyce może oznaczać przejęcie pełnej kontroli administracyjnej nad serwisem, modyfikację treści, kradzież danych użytkowników lub dalsze kompromitowanie infrastruktury.

Mitygacja

Należy jak najszybciej zaktualizować wtyczkę Custom API for WP do wersji wyższej niż 4.2.2. Szczegóły dotyczące wersji naprawionej dostępne są w bazie Patchstack oraz w repozytorium WordPress. Jeśli aktualizacja nie jest natychmiast możliwa, należy rozważyć dezaktywację wtyczki do czasu wdrożenia patcha.

Kogo dotyczy

Wtyczka WordPress 'Custom API for WP' autorstwa miniOrange w wersjach od n/a do 4.2.2 włącznie.

Uwagi

Podatność została zgłoszona i udokumentowana przez Patchstack. Wpis w bazie Patchstack wskazuje na wersję 4.2.2 jako ostatnią podatną.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
LPE
CWE
Referencje