CVE-2025-5948 in Service Finder Bookings Plugininfo

Zusammenfassung

von VulDB • 11.06.2026

Das WordPress-Plugin „Service Finder Bookings“ ist in allen Versionen bis einschließlich 6.0 anfällig für eine Privilegieneskalation durch Account-Übernahme. Dies liegt daran, dass das Plugin die Identität eines Benutzers vor der Inanspruchnahme eines Unternehmens bei der Nutzung der AJAX-Aktion `claim_business` nicht ordnungsgemäß validiert. Dies ermöglicht es nicht authentifizierten Angreifern, sich als beliebiger Benutzer, einschließlich Administratoren, anzumelden. Bitte beachten Sie, dass für die vollständige Übernahme des Unternehmens Zugriffsrechte als Abonnent (Subscriber) oder Brute-Force-Angriffe erforderlich sind. Die `claim_id` ist für die Übernahme des Admin-Kontos erforderlich, wobei Brute-Force ein praktikabler Ansatz zur Beschaffung gültiger IDs ist.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Zuständig

Wordfence

Reservieren

09.06.2025

Veröffentlichung

19.09.2025

Moderieren

akzeptiert

Eintrag

VDB-324988

CPE

bereit

EPSS

0.00396

KEV

nein

Aktivitäten

very low

Quellen

Do you need the next level of professionalism?

Upgrade your account now!