CRITICAL🇬🇧 English

CVE-2025-13613

Authentication Bypass w pluginie Elated Membership dla WordPress

CVSS 9.8v3.1pub. 2025-12-10upd. 2026-04-15

Plugin Elated Membership dla WordPress w wersjach do 1.2 włącznie zawiera krytyczną lukę Authentication Bypass umożliwiającą nieuwierzytelnionym atakującym zalogowanie się na konta administratorów. Podatność jest szczególnie niebezpieczna, ponieważ nie wymaga żadnych uprawnień ani interakcji użytkownika.

Pokaż oryginał (EN)

The Elated Membership plugin for WordPress is vulnerable to Authentication Bypass in all versions up to, and including, 1.2. This is due to the plugin not properly logging in a user with the data that was previously verified through the 'eltdf_membership_check_facebook_user' and the 'eltdf_membership_login_user_from_social_network' function. This makes it possible for unauthenticated attackers to log in as administrative users, as long as they have an existing account on the site which can easily be created by default through the temp user functionality, and access to the administrative user's email.

🤖 Analiza AI
Jak działa

Plugin nieprawidłowo obsługuje proces logowania użytkownika po weryfikacji danych za pośrednictwem funkcji 'eltdf_membership_check_facebook_user' oraz 'eltdf_membership_login_user_from_social_network'. Zweryfikowane dane nie są prawidłowo powiązane z sesją logowania, co pozwala atakującemu ominąć mechanizm uwierzytelnienia. Atakujący musi dysponować istniejącym kontem na stronie (które można łatwo utworzyć przez domyślnie dostępną funkcję tymczasowych użytkowników) oraz znać adres e-mail konta administratora, po czym może zalogować się na to konto bez znajomości hasła.

Skutki

Atakujący może uzyskać pełny dostęp administracyjny do witryny WordPress, co umożliwia przejęcie kontroli nad serwisem, kradzież danych, instalację złośliwego oprogramowania oraz modyfikację lub usunięcie zawartości strony.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się wyłączenie funkcji rejestracji tymczasowych użytkowników, jeśli nie jest wymagana, oraz monitorowanie logów dostępu pod kątem podejrzanych prób logowania.

Kogo dotyczy

Plugin Elated Membership dla WordPress we wszystkich wersjach do 1.2 włącznie

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje
CVE-2025-13613 — Authentication Bypass w pluginie Elated Membership dla WordPress — CRITICAL 9.8 | CVEbaza.pl