Omissió d’autorització a causa de la comprovació del valor buit que falta per a la creació d’usuaris administratius no autenticats a SureTriggers <= 1.0.78
17/04/2025
CVE-2025-3102
ALT (8,1)
CVSS3: 0,0
El complement SureTriggers: All-in-One Automation Platform per a WordPress és vulnerable a una derivació d’autenticació que condueix a la creació d’un compte administratiu a causa d’una comprovació del valor buit del valor “secret_key” a la funció “autheticate_user” en totes les versions fins a la 1.0.78 inclosa. Això fa possible que els atacants no autenticats puguin crear comptes d’administrador al lloc web de destinació quan el connector està instal·lat i activat però no configurat amb una clau API.
Sistemes Afectats
- brainstormforce OttoKit: All-in-One Automation Platform (Formerly SureTriggers)
Remediació
No hi ha cap recurs disponible a partir del 10 d’abril del 2025.
Referències
- https://www.wordfence.com/threat-intel/vulnerabilities/id/ec017311-f150-4a14-a4b4-b5634f574e2b?source=cve
- https://plugins.trac.wordpress.org/browser/suretriggers/trunk/src/Controllers/RestController.php#L59
- https://plugins.trac.wordpress.org/changesetsfp_email=&sfph_mail=&reponame=&new=3266499%40suretriggers%2Ftrunk&old=3264905%40suretriggers%2Ftrunk&sfp_email=&sfph_mail=
