CRITICAL✓ PATCH🇬🇧 English

CVE-2025-31380

Słaby mechanizm odzyskiwania hasła w pluginie Paid Videochat Turnkey Site (WordPress)

CVSS 9.8v3.1pub. 2025-04-17upd. 2026-04-23

Plugin WordPress o nazwie Paid Videochat Turnkey Site (ppv-live-webcams) zawiera krytyczną podatność w mechanizmie odzyskiwania zapomnianego hasła (CWE-640). Umożliwia ona nieuwierzytelnionemu atakującemu zdalne przejęcie kont użytkowników, w tym potencjalnie kont administratora.

Pokaż oryginał (EN)

Weak Password Recovery Mechanism for Forgotten Password vulnerability in videowhisper Paid Videochat Turnkey Site ppv-live-webcams allows Password Recovery Exploitation.This issue affects Paid Videochat Turnkey Site: from n/a through <= 7.3.11.

🤖 Analiza AI
Jak działa

Podatność polega na wadliwej implementacji procesu odzyskiwania hasła, który można wykorzystać w sposób przewidywalny lub obejść weryfikację tożsamości użytkownika. Atakujący bez żadnych uprawnień, działając zdalnie przez sieć, może nadużyć tego mechanizmu do zresetowania lub przejęcia kontroli nad kontem innego użytkownika. Brak wymagania interakcji po stronie ofiary oraz niski poziom złożoności ataku sprawiają, że podatność jest szczególnie łatwa do wykorzystania.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do kont użytkowników serwisu, co prowadzi do naruszenia poufności, integralności i dostępności danych — w tym potencjalnie przejęcia pełnej kontroli administracyjnej nad witryną WordPress.

Mitygacja

Należy zaktualizować plugin Paid Videochat Turnkey Site do wersji wyższej niż 7.3.11. Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się również wymuszenie zmiany haseł wszystkim użytkownikom oraz audyt logów dostępu w poszukiwaniu oznak eksploatacji.

Kogo dotyczy

Plugin WordPress Paid Videochat Turnkey Site (ppv-live-webcams) autorstwa videowhisper, wersje od n/a do 7.3.11 włącznie.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje
CVE-2025-31380 — Słaby mechanizm odzyskiwania hasła w pluginie Paid Videochat Turnkey Site (WordPress) — CRITICAL 9.8 | CVEbaza.pl