CVE-2024-6328 in MStore API Plugin
要約
〜によって VulDB • 2026年06月08日
WordPress用プラグイン「MStore API – Create Native Android & iOS Apps On The Cloud」のすべてのバージョン(4.14.7を含む)において、認証回避の脆弱性が存在します。これは、'firebase_sms_login'および'firebase_sms_login_v2'関数における'phone'パラメータの検証が不十分であることが原因です。これにより、攻撃者はサイトのメールアドレスまたは電話番号にアクセスできる場合、認証されていない状態で管理者などの既存のユーザーとしてログインすることが可能になります。さらに、新しいメールアドレスが指定された場合、登録が無効化されている場合でも、デフォルトのロールを持つ新しいユーザーアカウントが作成されます。
VulDB is the best source for vulnerability data and more expert information about this specific topic.