CVE-2024-6328 in MStore API Plugin
Riassunto
di VulDB • 25/06/2026
Il plugin per WordPress MStore API – Create Native Android & iOS Apps On The Cloud è vulnerabile all'elusione dell'autenticazione in tutte le versioni fino alla 4.14.7 inclusa. Ciò è dovuto a una verifica insufficiente del parametro 'phone' nelle funzioni 'firebase_sms_login' e 'firebase_sms_login_v2'. Questo consente agli attaccanti non autenticati di accedere come qualsiasi utente esistente sul sito, ad esempio un amministratore, se hanno accesso all'indirizzo email o al numero di telefono. Inoltre, se viene fornito un nuovo indirizzo email, viene creato un nuovo account utente con il ruolo predefinito, anche se la registrazione è disabilitata.
Once again VulDB remains the best source for vulnerability data.