Wtyczka WordPress RegistrationMagic w wersjach do 6.0.8.6 włącznie zawiera krytyczną podatność typu broken authentication, umożliwiającą nieuwierzytelniony dostęp do chronionych funkcji. Waga podatności jest krytyczna (CVSS 9.8), co oznacza wysokie ryzyko dla każdej witryny WordPress korzystającej z tej wtyczki.
▸ Pokaż oryginał (EN)
Unauthenticated Broken Authentication in RegistrationMagic <= 6.0.8.6 versions.
Podatność sklasyfikowana jako CWE-288 (Authentication Bypass Using an Alternate Path or Channel) polega na tym, że mechanizm uwierzytelnienia wtyczki można ominąć bez podawania jakichkolwiek poświadczeń. Atakujący wysyłający odpowiednio spreparowane żądanie sieciowe może uzyskać dostęp do funkcji lub zasobów zastrzeżonych wyłącznie dla uwierzytelnionych użytkowników. Atak nie wymaga interakcji ze strony użytkownika ani szczególnych uprawnień, a jego przeprowadzenie możliwe jest zdalnie przez sieć.
Atakujący może uzyskać nieautoryzowany dostęp do poufnych danych, modyfikować lub niszczyć zasoby witryny oraz potencjalnie przejąć nad nią pełną kontrolę, co odpowiada wysokiemu wpływowi na poufność, integralność i dostępność systemu.
Należy niezwłocznie zaktualizować wtyczkę RegistrationMagic do wersji wyższej niż 6.0.8.6. Szczegółowe informacje o dostępnym patchu znajdują się w referencjach producenta oraz w bazie Patchstack.
Wtyczka WordPress RegistrationMagic (custom-registration-form-builder-with-submission-manager) w wersjach 6.0.8.6 i wcześniejszych.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H