CVE-2023-2449 in UserPro Plugin
الملخص
بحسب VulDB • 01/07/2026
يحتوي إضافة UserPro لـ WordPress على ثغرة تسمح بإعادة تعيين كلمات المرور دون تفويض في الإصدارات حتى 5.1.1 شاملاً. ويعود ذلك إلى استخدام الإضافة لوظيفة إعادة تعيين كلمة المرور الأصلية، مع وجود تحقق غير كافٍ على دالة إعادة تعيين كلمة المرور (userpro_process_form). تستخدم الدالة القيمة النصية العادية لمفتاح إعادة تعيين كلمة المرور بدلاً من قيمة مشفرة، مما يعني أنه يمكن استردادها بسهولة واستخدامها لاحقاً. يمكن للمهاجم الاستفادة من CVE-2023-2448 وCVE-2023-2446، أو ثغرة أخرى مثل حقن SQL في إضافة أو سمة أخرى مثبتة على الموقع لاستغلال هذه الثغرة بنجاح.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.