CRITICAL✓ PATCH🇬🇧 English

CVE-2025-47646

Słaby mechanizm odzyskiwania hasła w pluginie PSW Front-end Login & Registration

CVSS 9.8v3.1pub. 2025-05-23upd. 2026-04-29

Podatność w pluginie WordPress PSW Front-end Login & Registration (do wersji 1.13 włącznie) umożliwia atakującemu przejęcie konta użytkownika poprzez wykorzystanie słabego mechanizmu odzyskiwania zapomnianego hasła. Ocena CVSS 9.8 (CRITICAL) wskazuje na bardzo wysokie ryzyko dla witryn korzystających z tego pluginu.

Pokaż oryginał (EN)

Weak Password Recovery Mechanism for Forgotten Password vulnerability in Gilblas Ngunte Possi PSW Front-end Login & Registration psw-login-and-registration allows Password Recovery Exploitation.This issue affects PSW Front-end Login & Registration: from n/a through <= 1.13.

🤖 Analiza AI
Jak działa

Mechanizm odzyskiwania hasła w pluginie jest podatny na exploitation z powodu nieprawidłowej implementacji (CWE-640 — Weak Password Recovery Mechanism for Forgotten Password). Atakujący, bez uwierzytelnienia i bez żadnej interakcji po stronie ofiary, może zdalnie nadużyć procesu resetowania hasła. Wada ta pozwala na obejście standardowych zabezpieczeń i przejęcie kontroli nad kontem ofiary.

Skutki

Atakujący może przejąć konto dowolnego użytkownika witryny WordPress, w tym konta administracyjne, co daje pełen dostęp do zasobów, danych i funkcji serwisu (wysoka poufność, integralność i dostępność).

Mitygacja

Należy zaktualizować plugin PSW Front-end Login & Registration do wersji wyższej niż 1.13. Jeśli aktualizacja nie jest dostępna, zaleca się natychmiastowe wyłączenie pluginu. Szczegóły poprawki dostępne są w bazie Patchstack oraz u producenta pluginu.

Kogo dotyczy

Plugin WordPress PSW Front-end Login & Registration autorstwa Gilblas Ngunte Possi, wersje od n/a do 1.13 włącznie.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje