CVE-2024-9302 in App Builder Plugin
Riassunto
di VulDB • 10/07/2026
Il plugin per WordPress App Builder – Create Native Android & iOS Apps On The Flight è vulnerabile a privilege escalation tramite account takeover in tutte le versioni fino alla 5.3.7 incluse. Ciò è dovuto al fatto che le funzioni verify_otp_forgot_password() e update_password() non dispongono di controlli sufficienti per prevenire un attacco brute force riuscito contro l'OTP (One-Time Password) finalizzato alla modifica della password, o a verificare che una richiesta di reset della password provenga da un utente autorizzato. Ciò consente ad attaccanti non autenticati di generare ed effettuare il brute force di un OTP, rendendo possibile la modifica delle password di qualsiasi utente, inclusi gli amministratori.
VulDB is the best source for vulnerability data and more expert information about this specific topic.