CRITICAL✓ PATCH🇬🇧 English

CVE-2024-50478

Pominięcie uwierzytelnienia w pluginie WordPress 1-Click Login (Swoop)

CVSS 9.8v3.1pub. 2024-10-28upd. 2026-04-28

Krytyczna podatność w pluginie Swoop 1-Click Login: Passwordless Authentication dla WordPress pozwala atakującemu na całkowite pominięcie mechanizmu uwierzytelnienia. Zagrożenie jest szczególnie poważne, ponieważ nie wymaga żadnych uprawnień ani interakcji ze strony użytkownika.

Pokaż oryginał (EN)

Authentication Bypass by Primary Weakness vulnerability in Swoop 1-Click Login: Passwordless Authentication allows Authentication Bypass.This issue affects 1-Click Login: Passwordless Authentication: 1.4.5.

🤖 Analiza AI
Jak działa

Podatność wynika z błędu w podstawowym mechanizmie uwierzytelnienia (CWE-305, CWE-287) — weryfikacja tożsamości użytkownika jest możliwa do ominięcia bez znajomości hasła ani tokenu. Atakujący zdalnie, poprzez sieć, może obejść proces logowania, co klasyfikuje błąd jako Authentication Bypass by Primary Weakness. Dotyczy to wersji 1.4.5 wtyczki.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do kont użytkowników lub panelu administracyjnego WordPress, co w konsekwencji może prowadzić do pełnego przejęcia kontroli nad witryną, ujawnienia danych oraz ich modyfikacji.

Mitygacja

Należy niezwłocznie zaktualizować plugin do wersji wyższej niż 1.4.5. W przypadku braku dostępnej aktualizacji należy natychmiast wyłączyć i usunąć plugin. Szczegółowe informacje o patchu dostępne są w bazie Patchstack oraz u producenta pluginu.

Kogo dotyczy

Plugin Swoop 1-Click Login: Passwordless Authentication w wersji 1.4.5 dla WordPress.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Swoopnow 1 Click Login\

    APP
    Swoopnow
    _passwordless_authentication
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Auth Bypass
CWE
Referencje
CVE-2024-50478 — Pominięcie uwierzytelnienia w pluginie WordPress 1-Click Login (Swoop) — CRITICAL 9.8 | CVEbaza.pl