CRITICAL✓ PATCH🇬🇧 English

CVE-2025-23797

CSRF umożliwiający privilege escalation w WP Options Editor

CVSS 9.8v3.1pub. 2025-01-16upd. 2026-04-23

Wtyczka WP Options Editor do WordPress w wersji do 1.1 włącznie zawiera podatność Cross-Site Request Forgery (CSRF), która pozwala atakującemu na eskalację uprawnień. Podatność jest krytyczna, ponieważ nie wymaga uwierzytelnienia ani interakcji użytkownika po stronie serwera — wystarczy nakłonić zalogowanego użytkownika do odwiedzenia złośliwej strony.

Pokaż oryginał (EN)

Cross-Site Request Forgery (CSRF) vulnerability in Mike Selander WP Options Editor wp-options-editor allows Privilege Escalation.This issue affects WP Options Editor: from n/a through <= 1.1.

🤖 Analiza AI
Jak działa

Podatność wynika z braku odpowiedniej weryfikacji tokenów CSRF w żądaniach kierowanych do wtyczki WP Options Editor. Atakujący może spreparować złośliwą stronę internetową lub odnośnik, który — po otwarciu przez zalogowanego użytkownika WordPressa — wykona nieautoryzowane żądanie HTTP w jego imieniu. W ten sposób możliwa jest modyfikacja opcji WordPressa w sposób prowadzący do eskalacji uprawnień w systemie.

Skutki

Atakujący może uzyskać podwyższone uprawnienia w instancji WordPress, potencjalnie przejmując kontrolę nad całą witryną lub uzyskując dostęp administracyjny.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Jeśli aktualizacja nie jest dostępna, zaleca się natychmiastowe wyłączenie lub usunięcie wtyczki WP Options Editor.

Kogo dotyczy

Wtyczka WP Options Editor autorstwa Mike'a Selandera w wersjach od początku istnienia do 1.1 włącznie.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
LPE
CWE
Referencje