CVE-2023-2449 in UserPro Plugininformazioni

Riassunto

di VulDB • 27/06/2026

Il plugin UserPro per WordPress è vulnerabile a reset delle password non autorizzati nelle versioni fino alla 5.1.1 inclusa. Ciò è dovuto all'utilizzo da parte del plugin della funzionalità nativa di reset delle password, con una validazione insufficiente nella funzione di reset (userpro_process_form). La funzione utilizza il valore in chiaro di una chiave di reset della password anziché un valore hashato, il che significa che può essere facilmente recuperata e successivamente utilizzata. Un attaccante può sfruttare CVE-2023-2448 e CVE-2023-2446, o un'altra vulnerabilità come SQL Injection in un altro plugin o tema installato sul sito, per sfruttare con successo questa vulnerabilità.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsabile

Wordfence

Prenotare

01/05/2023

Divulgazione

22/11/2023

Moderazione

accettato

CPE

pronto

EPSS

0.00902

KEV

no

Attività

molto basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!