Krytyczna podatność w pluginie Swoop 1-Click Login: Passwordless Authentication dla WordPress pozwala atakującemu na całkowite pominięcie mechanizmu uwierzytelnienia. Zagrożenie jest szczególnie poważne, ponieważ nie wymaga żadnych uprawnień ani interakcji ze strony użytkownika.
▸ Pokaż oryginał (EN)
Authentication Bypass by Primary Weakness vulnerability in Swoop 1-Click Login: Passwordless Authentication allows Authentication Bypass.This issue affects 1-Click Login: Passwordless Authentication: 1.4.5.
Podatność wynika z błędu w podstawowym mechanizmie uwierzytelnienia (CWE-305, CWE-287) — weryfikacja tożsamości użytkownika jest możliwa do ominięcia bez znajomości hasła ani tokenu. Atakujący zdalnie, poprzez sieć, może obejść proces logowania, co klasyfikuje błąd jako Authentication Bypass by Primary Weakness. Dotyczy to wersji 1.4.5 wtyczki.
Atakujący może uzyskać nieautoryzowany dostęp do kont użytkowników lub panelu administracyjnego WordPress, co w konsekwencji może prowadzić do pełnego przejęcia kontroli nad witryną, ujawnienia danych oraz ich modyfikacji.
Należy niezwłocznie zaktualizować plugin do wersji wyższej niż 1.4.5. W przypadku braku dostępnej aktualizacji należy natychmiast wyłączyć i usunąć plugin. Szczegółowe informacje o patchu dostępne są w bazie Patchstack oraz u producenta pluginu.
Plugin Swoop 1-Click Login: Passwordless Authentication w wersji 1.4.5 dla WordPress.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HSwoopnow 1 Click Login\
APPSwoopnow_passwordless_authentication