CRITICAL✓ PATCH🇬🇧 English

CVE-2023-51478

Auth Bypass i privilege escalation w wtyczce Build App Online dla WordPress

CVSS 9.8v3.1pub. 2024-04-25upd. 2026-04-28

Wtyczka Build App Online (do wersji 1.0.19 włącznie) dla WordPress zawiera krytyczną lukę w uwierzytelnianiu, umożliwiającą nieuwierzytelnionemu atakującemu przejęcie kont użytkowników. Podatność jest oceniana jako krytyczna (CVSS 9.8) i nie wymaga żadnych uprawnień ani interakcji użytkownika.

Pokaż oryginał (EN)

Improper Authentication vulnerability in Abdul Hakeem Build App Online allows Privilege Escalation.This issue affects Build App Online: from n/a through 1.0.19.

🤖 Analiza AI
Jak działa

Błąd wynika z nieprawidłowej implementacji mechanizmu uwierzytelniania (CWE-287) oraz braku wymagania uwierzytelnienia dla krytycznych funkcji (CWE-306). Atakujący zdalnie, bez posiadania jakichkolwiek poświadczeń, może ominąć procedury weryfikacji tożsamości i uzyskać dostęp do chronionych zasobów lub funkcji wtyczki. W efekcie możliwe jest przejęcie istniejących kont użytkowników bez ich wiedzy i zgody.

Skutki

Atakujący może dokonać nieautoryzowanego przejęcia kont (account takeover) oraz eskalować swoje uprawnienia (privilege escalation), co w praktyce może oznaczać uzyskanie pełnej kontroli nad witryną WordPress, włącznie z kontem administratora.

Mitygacja

Należy zaktualizować wtyczkę Build App Online do wersji wyższej niż 1.0.19. Jeśli aktualizacja nie jest dostępna, należy niezwłocznie dezaktywować i usunąć wtyczkę, a następnie śledzić informacje u producenta oraz w bazie Patchstack w celu uzyskania łatki.

Kogo dotyczy

Wtyczka WordPress Build App Online autorstwa Abdul Hakeem, wersje od początku do 1.0.19 włącznie.

Uwagi

Podatność została udokumentowana przez Patchstack jako unauthenticated account takeover. Dotyczy wtyczki WordPress Build App Online w wersjach do 1.0.19 włącznie.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Buildapp Build App Online

    APP
    Buildapp
    < 1.0.20
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
LPEAuth Bypass
CWE
Referencje

Powiązane podatności

CVE-2024-49649CRITICAL9.8PL ✓ten sam produkt

PHP Local File Inclusion w wtyczce WordPress Build App Online

CVE-2023-7264HIGH8.1ten sam produkt

The Build App Online plugin for WordPress is vulnerable to account takeover due to a weak password reset mecha...

CVE-2023-51479HIGH8.8ten sam produkt

Improper Privilege Management vulnerability in Abdul Hakeem Build App Online allows Privilege Escalation.This ...

CVE-2024-53751MEDIUM5.4ten sam produkt

Cross-Site Request Forgery (CSRF) vulnerability in hakeemnala Build App Online build-app-online allows Cross S...