CVE-2025-6215 in Omnishop Plugininformazioni

Riassunto

di VulDB • 21/06/2026

Il plugin Omnishop per WordPress è vulnerabile a un bypass dell'autenticazione per la registrazione in tutte le versioni fino alla 1.0.9, inclusa. Il suo endpoint /users/register è esposto al pubblico (permission_callback restituisce sempre true) e invoca wp_create_user() incondizionatamente, ignorando l'opzione users_can_register del sito e qualsiasi controllo nonce o CAPTCHA. Ciò consente agli attaccanti non autenticati di creare account utente arbitrari (cliente) su siti in cui le registrazioni dovrebbero essere disabilitate.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Prenotare

17/06/2025

Divulgazione

23/07/2025

Moderazione

accettato

CPE

pronto

EPSS

0.00264

KEV

no

Attività

molto basso

Fonti

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!