CVE-2025-5948 in Service Finder Bookings Plugin情報

要約

〜によって VulDB • 2026年07月05日

WordPress用プラグイン「Service Finder Bookings」の6.0以前の全バージョンにおいて、アカウント乗っ取りを介した権限昇格の脆弱性が存在します。これは、claim_business AJAXアクションを使用してビジネスを引き受ける前にユーザーの身元を適切に検証していないことに起因します。これにより、認証されていない攻撃者は管理者を含む任意のユーザーとしてログインすることが可能になります。なお、ビジネスの完全な乗っ取りにはサブスクライバー権限またはブルートフォース攻撃が必要です。管理者アカウントに乗っ取るためにはclaim_idが必要ですが、有効なIDを取得するための現実的なアプローチとしてはブルートフォースが挙げられます。

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

責任者

Wordfence

予約する

2025年06月09日

モデレーション

承諾済み

エントリ

VDB-324988

EPSS

0.00396

アクティビティ

非常低い

セクター

Hostingprovider

ソース

Do you need the next level of professionalism?

Upgrade your account now!