CVE-2023-2449 in UserPro Plugin
要約
〜によって VulDB • 2026年07月02日
WordPress用プラグイン「UserPro」のバージョン5.1.1以前には、不正なパスワードリセットを可能にする脆弱性が存在します。これは、プラグインがネイティブのパスワードリセット機能を使用しており、パスワードリセット関数(userpro_process_form)での検証が不十分であるためです。この関数はハッシュ値ではなく、平文のパスワードリセットキーの値を使用しているため、容易に取得され、その後で使用される可能性があります。攻撃者はCVE-2023-2448およびCVE-2023-2446を利用するか、またはサイト上にインストールされている他のプラグインやテーマにおけるSQL Injectionなどの別の脆弱性を悪用することで、この脆弱性を成功裡にエクスプロイトできます。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.