CVE-2025-2933

ALT (8,8)

CVSS3: 0,0

El connector d’Email Notifications for Updates per a WordPress és vulnerable a la modificació no autoritzada de dades que pot provocar una escalada de privilegis a causa d’una comprovació de capacitat que falta a la funció awun_import_settings() en totes les versions fins a la 1.1.6 inclosa. Això fa possible que els atacants autenticats, amb accés a nivell de subscriptor i superior, actualitzin opcions arbitràries al lloc de WordPress. Això es pot aprofitar per actualitzar el rol predeterminat per al registre d’administrador i permetre el registre d’usuaris perquè els atacants tinguin accés administratiu d’usuari a un lloc vulnerable.

Sistemes Afectats

• aweos Email Notifications for Updates

Remediació
No hi ha cap recurs disponible a partir del 5 d’abril del 2025.

Referències

• https://www.wordfence.com/threat-intel/vulnerabilities/id/d52e644b-a58f-4e09-9e53-e9cbef75e34f?source=cve
• https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3265589%40wp-update-mail-notification&new=3265589%40wp-update-mail-notification