CVE-2025-3605

WordPress uchun Frontend Login va Registration Blocks plagini 1.1.1.gacha boʻlgan barcha versiyalarda hisobni egallab olish orqali imtiyozlarning kuchayishiga zaifdir. Buning sababi flr_blocks_user_settings_handle_ajax_callback() funksiyasi orqali elektron pochta kabi maʼlumotlarni yangilashdan oldin plagin foydalanuvchining identifikatorini toʻgʻri tasdiqlamasligi bilan bogʻliq. Bu autentifikatsiya qilinmagan tajovuzkorlarga foydalanuvchining elektron pochta manzillarini, jumladan, ma'murlarni o'zgartirishi va u orqali "u"ni tiklash imkonini beradi.

CVSS Vector

Manbalar

• https://plugins.trac.wordpress.org/browser/frontend-login-and-registration-blocks/trunk/inc/class-flr-blocks-user-settings.php#L59
• https://www.wordfence.com/threat-intel/vulnerabilities/id/0c11668c-6dc3-4539-b2be-bf6528bed73e?source=cve