PT-2025-47434 · WordPress · Wp Login/Register Using Jwt
Athiwat Tiprasaharn
·
Publicado
2025-11-19
·
Atualizado
2025-11-19
·
CVE-2025-12822
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
Plugin WP Login and Register using JWT para WordPress versões até a 3.0.0
Descrição
O plugin WP Login and Register using JWT para WordPress está susceptível a acesso não autorizado a dados. Isso se deve à falta de uma verificação de capability na função
mo jwt generate new api key(). Atacantes autenticados com acesso de nível Subscritor (Subscriber) ou superior podem gerar uma nova chave de API em sites que não possuem uma chave de API pré-configurada. Isso permite que eles acessem endpoints restritos.Recomendações
Atualize o plugin WP Login and Register using JWT para uma versão posterior à 3.0.0.
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wp Login/Register Using Jwt