CVEbaza.plSłownik CWECWE-620
Common Weakness Enumeration

CWE-620

Unverified Password Change

Kategoria: BaseCVE: 85
Opis

Podczas zmiany hasła użytkownika produkt nie wymaga znajomości pierwotnego hasła ani użycia innej formy uwierzytelniania. Stanowi to lukę bezpieczeństwa umożliwiającą nieautoryzowanym osobom zmianę haseł innych użytkowników.

Description (EN)

When setting a new password for a user, the product does not require knowledge of the original password, or using another form of authentication.

Podatności CVE z CWE-620 (85)
10.0
CVSS
CRITICAL
CVE-2024-20419

Krytyczna podatność w systemie uwierzytelniania Cisco Smart Software Manager On-Prem (SSM On-Prem) umożliwia nieuwierzytelnionemu atakującemu zdalną zmianę hasła dowolnego użytkownika, w tym kont administracyjnych. Uzyskanie dostępu do konta administratora daje pełną kontrolę nad urządzeniem.

pub. 2024-07-17
9.9
CVSS
CRITICAL
CVE-2025-1107

Podatność w oprogramowaniu Janto (wersje wcześniejsze niż r12) umożliwia nieuwierzytelnionemu atakującemu zmianę hasła dowolnego użytkownika bez znajomości obecnego hasła. Ze względu na brak wymagań uwierzytelnienia i pełną kontrolę nad kontami użytkowników, podatność jest oceniana jako krytyczna.

pub. 2025-02-07
9.9
CVSS
CRITICAL
CVE-2024-33699

Router LevelOne WBR-6012 z firmware R0.40e6 posiada podatność umożliwiającą zmianę hasła administratora bez znajomości aktualnego hasła. Skutkuje to możliwością przejęcia pełnej kontroli nad urządzeniem przez nieuwierzytelnionego lub niskoprzywilejowanego atakującego sieciowego.

pub. 2024-10-30
9.8
CVSS
CRITICAL
CVE-2025-67041

W oprogramowaniu urządzeń Lantronix EDS3000PS wykryto podatność typu command injection umożliwiającą nieuwierzytelnionemu atakującemu wykonanie dowolnych poleceń systemowych z uprawnieniami root. Podatność jest klasyfikowana jako krytyczna (CVSS 9.8), ponieważ nie wymaga żadnego uwierzytelnienia ani interakcji użytkownika.

pub. 2026-03-11
9.8
CVSS
CRITICAL
CVE-2025-70082

Podatność w oprogramowaniu Lantronix EDS3000PS w wersji 3.1.0.0R2 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu oraz uzyskanie dostępu do wrażliwych informacji. Krytyczny poziom zagrożenia (CVSS 9.8) wynika z braku wymagań uwierzytelnienia i możliwości ataku przez sieć.

pub. 2026-03-11
9.8
CVSS
CRITICAL
CVE-2025-63362

Firmware bramy szeregowej Waveshare RS232/485 TO WIFI ETH (B) umożliwia ustawienie pustej nazwy użytkownika i pustego hasła administratora, co pozwala atakującemu na całkowite ominięcie mechanizmu uwierzytelnienia. Podatność ma ocenę CVSS 9.8 (CRITICAL) i jest dostępna zdalnie bez żadnych uprawnień wstępnych.

pub. 2025-12-04
9.8
CVSS
CRITICAL
CVE-2025-9286

Plugin Appy Pie Connect for WooCommerce dla WordPress w wersjach do 1.1.2 włącznie umożliwia nieuwierzytelnionemu atakującemu przejęcie konta administratora poprzez reset hasła dowolnego użytkownika. Podatność ma ocenę CVSS 9.8 i stanowi krytyczne zagrożenie dla bezpieczeństwa witryn WordPress.

pub. 2025-10-03
9.8
CVSS
CRITICAL
CVE-2025-10159

Podatność klasy authentication bypass w punktach dostępowych Sophos AP6 Series pozwala zdalnym atakującym na uzyskanie uprawnień administracyjnych bez konieczności podawania jakichkolwiek danych uwierzytelniających. Ze względu na sieciowy charakter podatności i brak wymagań wstępnych, stanowi ona krytyczne zagrożenie dla infrastruktury bezprzewodowej.

pub. 2025-09-09
9.8
CVSS
CRITICAL
CVE-2025-4606

Motyw WordPress 'Sala - Startup & SaaS WordPress Theme' w wersjach do 1.1.4 włącznie zawiera krytyczną podatność umożliwiającą nieuwierzytelnionym atakującym przejęcie dowolnego konta użytkownika, w tym konta administratora. Zagrożenie jest szczególnie poważne, ponieważ nie wymaga żadnych uprawnień ani interakcji ze strony ofiary.

pub. 2025-07-09
9.8
CVSS
CRITICAL
CVE-2024-12827

Motyw WordPress 'DWT - Directory & Listing' w wersjach do 3.3.6 włącznie zawiera krytyczną podatność umożliwiającą nieuwierzytelnionym atakującym przejęcie dowolnego konta użytkownika, w tym administratora. Brak weryfikacji pustego tokenu przy resetowaniu hasła pozwala na nieautoryzowaną zmianę haseł.

pub. 2025-06-27
9.8
CVSS
CRITICAL
CVE-2025-4322

Motyw Motors dla WordPressa w wersjach do 5.6.67 włącznie zawiera podatność umożliwiającą nieuwierzytelnionym atakującym przejęcie dowolnego konta użytkownika, w tym kont administratorów. Podatność jest krytyczna, ponieważ nie wymaga żadnego uwierzytelnienia ani interakcji ze strony ofiary.

pub. 2025-05-20
9.8
CVSS
CRITICAL
CVE-2025-2253

Plugin WordPress IMITHEMES Listing w wersjach do 3.3 włącznie umożliwia nieuwierzytelnionym atakującym przejęcie dowolnego konta użytkownika, w tym administratora. Podatność wynika z braku właściwej weryfikacji kodu resetowania hasła, co klasyfikuje ją jako krytyczną.

pub. 2025-05-09
9.8
CVSS
CRITICAL
CVE-2025-3603

Wtyczka Flynax Bridge dla WordPress w wersjach do 2.2.0 włącznie umożliwia nieuwierzytelnionemu atakującemu zmianę hasła dowolnego użytkownika, w tym administratora. Podatność jest krytyczna, ponieważ pozwala na pełne przejęcie konta bez żadnych uprawnień wstępnych.

pub. 2025-04-24
9.8
CVSS
CRITICAL
CVE-2024-48887

Podatność w interfejsie GUI Fortinet FortiSwitch umożliwia zdalnemu, nieuwierzytelnionemu atakującemu zmianę hasła administratora poprzez specjalnie spreparowane żądanie. Otrzymała ocenę krytyczną CVSS 9.8, ponieważ nie wymaga żadnych uprawnień ani interakcji użytkownika.

pub. 2025-04-08
9.8
CVSS
CRITICAL
CVE-2024-12824

Motyw WordPress Nokri – Job Board w wersjach do 1.6.2 włącznie umożliwia nieuwierzytelnionym atakującym przejęcie dowolnego konta użytkownika, w tym kont administratorów. Podatność jest krytyczna, ponieważ nie wymaga żadnych uprawnień ani interakcji ze strony ofiary.

pub. 2025-03-01
9.8
CVSS
CRITICAL
CVE-2024-12860

Motyw CarSpot – Dealership WordPress Classified Theme w wersjach do 2.4.3 włącznie zawiera podatność umożliwiającą przejęcie konta dowolnego użytkownika, w tym administratora, bez uwierzytelnienia. Luka jest krytyczna, ponieważ pozwala atakującemu na pełne przejęcie kontroli nad witryną WordPress.

pub. 2025-02-18
9.8
CVSS
CRITICAL
CVE-2024-13375

Wtyczka Adifier System dla WordPress w wersjach do 3.1.7 włącznie umożliwia nieuwierzytelnionym atakującym zmianę hasła dowolnego użytkownika, w tym administratora. Podatność pozwala na pełne przejęcie konta i eskalację uprawnień.

pub. 2025-01-18
9.8
CVSS
CRITICAL
CVE-2024-26520

Podatność w platformie Restaurant Digital Comprehensive Management firmy Hangzhou Xiongwei Technology pozwala nieuwierzytelnionemu atakującemu na obejście mechanizmów uwierzytelnienia. Umożliwia to dowolne resetowanie haseł użytkowników, co stanowi krytyczne zagrożenie dla bezpieczeństwa systemu.

pub. 2024-07-26
9.8
CVSS
CRITICAL
CVE-2023-2449

Plugin UserPro dla WordPress (wersje do 5.1.1 włącznie) umożliwia nieautoryzowany reset hasła dowolnego konta użytkownika, w tym administratora. Podatność wynika z nieprawidłowej walidacji klucza resetującego hasło, co w połączeniu z innymi lukami może prowadzić do pełnego przejęcia konta.

pub. 2023-11-22
9.8
CVSS
CRITICAL
CVE-2023-3069

Unverified Password Change in GitHub repository tsolucio/corebos prior to 8.

pub. 2023-06-02
Pokazano 20 z 85 podatności
Informacje
ID: CWE-620
Typ: Base
Podatności: 85
MITRE CWE ↗
← Słownik CWE
CWE-620 — Niezweryfikowana zmiana hasła | Słownik CWE | CVEbaza.pl