CRITICAL✓ PATCH🇬🇧 English

CVE-2025-32486

Podatność privilege escalation w wtyczce WordPress Material Dashboard

CVSS 9.8v3.1pub. 2025-09-09upd. 2026-04-23

Wtyczka Material Dashboard dla WordPress w wersjach do 1.4.6 włącznie zawiera poważną lukę w mechanizmie odzyskiwania hasła (CWE-640), sklasyfikowaną jako krytyczna z oceną CVSS 9.8. Umożliwia ona nieuwierzytelnionemu atakującemu przejęcie kontroli nad kontami użytkowników poprzez eskalację uprawnień.

Pokaż oryginał (EN)

Weak Password Recovery Mechanism for Forgotten Password vulnerability in Hossein Material Dashboard material-dashboard.This issue affects Material Dashboard: from n/a through <= 1.4.6.

🤖 Analiza AI
Jak działa

Podatność polega na słabym mechanizmie odzyskiwania zapomnianego hasła (Weak Password Recovery Mechanism for Forgotten Password). Mechanizm ten jest możliwy do wykorzystania bez uwierzytelnienia, bez interakcji użytkownika i bez spełnienia żadnych szczególnych warunków po stronie atakującego (AC:L, PR:N, UI:N). Błędna implementacja procesu odzyskiwania hasła pozwala atakującemu na manipulację tym procesem w celu przejęcia konta.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do kont użytkowników, potencjalnie w tym kont administracyjnych, co prowadzi do pełnego przejęcia witryny WordPress — naruszenia poufności, integralności i dostępności danych.

Mitygacja

Należy zaktualizować wtyczkę Material Dashboard do wersji nowszej niż 1.4.6. Szczegóły dotyczące dostępnego patcha należy sprawdzić zgodnie z informacjami opublikowanymi przez Patchstack oraz w repozytorium wtyczek WordPress.

Kogo dotyczy

Wtyczka WordPress Material Dashboard autorstwa Hossein, wersje od początku do 1.4.6 włącznie.

Uwagi

Podatność została zgłoszona i udokumentowana przez Patchstack. Ocena CVSS 9.8 (CRITICAL) przy braku wpisu w CISA KEV i braku potwierdzonego publicznego exploitu uzasadnia poziom pilności WYSOKI.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje
CVE-2025-32486 — Podatność privilege escalation w wtyczce WordPress Material Dashboard — CRITICAL 9.8 | CVEbaza.pl