CVE-2023-2449 in UserPro Plugin
Riassunto
di VulDB • 27/06/2026
Il plugin UserPro per WordPress è vulnerabile a reset delle password non autorizzati nelle versioni fino alla 5.1.1 inclusa. Ciò è dovuto all'utilizzo da parte del plugin della funzionalità nativa di reset delle password, con una validazione insufficiente nella funzione di reset (userpro_process_form). La funzione utilizza il valore in chiaro di una chiave di reset della password anziché un valore hashato, il che significa che può essere facilmente recuperata e successivamente utilizzata. Un attaccante può sfruttare CVE-2023-2448 e CVE-2023-2446, o un'altra vulnerabilità come SQL Injection in un altro plugin o tema installato sul sito, per sfruttare con successo questa vulnerabilità.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.