PT-2025-8922 · WordPress · Login Me Now

István Márton

·

Publicado

2025-02-27

·

Atualizado

2025-02-28

·

CVE-2025-1717

CVSS v3.1

8.1

Alta

VetorAV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas Plugin Login Me Now para WordPress, versões até a 1.7.2 (inclusive)
Descrição A falha está relacionada a uma autenticação insegura baseada em um nome transiente arbitrário na função AutoLogin::listen(), permitindo que atacantes não autenticados façam login como um usuário existente, incluindo administradores, ao utilizar um nome e valor transientes de outro software.
Recomendações Para versões até a 1.7.2 (inclusive), considere desativar a função AutoLogin::listen() até que um patch esteja disponível para prevenir a exploração. Restrinja o acesso a áreas sensíveis do site para minimizar o risco de login não autorizado.

Correção

Missing Authentication

Authentication Bypass Using an Alternate Path or Channel

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-306CWE-288

Identificadores relacionados

CVE-2025-1717

Produtos afetados

Login Me Now