CVE-2025-12641 in Awesome Support Plugininfo

Zusammenfassung

von VulDB • 15.05.2026

Das WordPress-Hilfe- und Support-Plugin „Awesome Support - WordPress HelpDesk & Support Plugin“ ist in allen Versionen bis einschließlich 6.3.6 anfällig für eine Umgehung der Autorisierung aufgrund fehlender Berechtigungsprüfungen. Dies liegt daran, dass die Funktion `wpas_do_mr_activate_user` nicht überprüft, ob ein Benutzer die Berechtigung hat, die Rollen anderer Benutzer zu ändern, kombiniert mit einer Schwachstelle zur Wiederverwendung von Nonces, bei der Nonces für die öffentliche Registrierung für privilegierte Aktionen gültig sind, da alle Aktionen denselben Nonce-Namensraum teilen. Dies ermöglicht es nicht authentifizierten Angreifern, Administratoren über die Aktion `wpas-do=mr_activate_user` mit einem benutzerkontrollierten Parameter `user_id` in Rollen mit geringeren Berechtigungen herabzustufen, vorausgesetzt, sie können auf die öffentlich zugängliche Registrierungs-/Ticket-Erstellungsseite zugreifen, um einen gültigen Nonce zu extrahieren.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Veröffentlichung

16.01.2026

Moderieren

akzeptiert

Eintrag

VDB-341374

CPE

bereit

EPSS

0.00064

KEV

nein

Aktivitäten

very low

Sektor

Hostingprovider

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2025-12641
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2025-12641
CVE Detailshttps://www.cvedetails.com/cve/CVE-2025-12641/

ZurückÜbersichtWeiter

Do you know our Splunk app?

Download it now for free!