PT-2025-42292 · WordPress · Wpbifröst
Publicado
2025-10-15
·
Atualizado
2025-10-15
·
CVE-2025-10299
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Versões do WPBifröst até a 1.0.7
Descrição
O plugin WPBifröst – Instant Passwordless Temporary Login Links para WordPress possui uma falha que permite a atacantes autenticados com acesso de nível de Assinante ou superior criar novas contas de usuário administrador. Isso ocorre devido à ausência de uma verificação de capacidade na ação AJAX
ctl create link. Os atacantes podem então fazer login como esses usuários administradores recém-criados.Recomendações
Atualize para a versão 1.0.8.
Correção
LPE
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wpbifröst