CRITICAL🇬🇧 English

CVE-2025-9485

Auth Bypass poprzez błędną weryfikację podpisu JWT w pluginie OAuth SSO dla WordPress

CVSS 9.8v3.1pub. 2025-10-04upd. 2026-04-15

Plugin WordPress 'OAuth Single Sign On – SSO (OAuth Client)' w wersjach do 6.26.12 włącznie zawiera krytyczną podatność umożliwiającą ominięcie uwierzytelnienia. Atakujący bez żadnych uprawnień może przejąć dowolne konto użytkownika, w tym konta administratorów, lub tworzyć nowe konta.

Pokaż oryginał (EN)

The OAuth Single Sign On – SSO (OAuth Client) plugin for WordPress is vulnerable to Improper Verification of Cryptographic Signature in versions up to, and including, 6.26.12. This is due to the plugin performing unsafe JWT token processing without verification or validation in the `get_resource_owner_from_id_token` function. This makes it possible for unauthenticated attackers to bypass authentication and gain access to any existing user account - including administrators in certain configurations - or to create arbitrary subscriber-level accounts.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej obsługi tokenów JWT w funkcji `get_resource_owner_from_id_token`. Plugin przetwarza tokeny JWT bez weryfikacji ani walidacji podpisu kryptograficznego (CWE-347 – Improper Verification of Cryptographic Signature). Oznacza to, że atakujący może spreparować dowolny token JWT wskazujący na istniejącego użytkownika lub żądający utworzenia nowego konta, a plugin zaakceptuje go bez sprawdzenia autentyczności podpisu.

Skutki

Nieuwierzytelniony atakujący zdalnie może przejąć kontrolę nad dowolnym kontem użytkownika – w tym kontem administratora w określonych konfiguracjach – lub tworzyć nowe konta z uprawnieniami subskrybenta, co może prowadzić do pełnego przejęcia witryny WordPress.

Mitygacja

Należy zaktualizować plugin do wersji wyższej niż 6.26.12, w której poprawka jest dostępna zgodnie ze zmianą 3360768 w repozytorium pluginu. Aktualizacja powinna zostać przeprowadzona niezwłocznie z uwagi na krytyczny poziom podatności i brak wymogu uwierzytelnienia po stronie atakującego.

Kogo dotyczy

Plugin WordPress 'OAuth Single Sign On – SSO (OAuth Client)' (miniorange-login-with-eve-online-google-facebook) w wersjach do 6.26.12 włącznie

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje