CVE-2025-5948 in Service Finder Bookings Plugin정보

요약

\~에 의해 VulDB • 2026. 07. 05.

WordPress용 Service Finder Bookings 플러그인은 6.0 버전까지 모든 버전에서 계정 탈취를 통한 권한 상승 취약점이 있습니다. 이는 `claim_business` AJAX 액션을 사용할 때 비즈니스 소유권을 주장하기 전에 사용자의 신원을 적절하게 검증하지 않기 때문입니다. 이로 인해 인증되지 않은 공격자가 관리자 계정을 포함한 임의의 사용자 계정으로 로그인할 수 있습니다. 단, 비즈니스 인수인계를 완료하려면 구독자 권한이 필요하거나 브루트 포싱(무차별 대입 공격)이 필요합니다. 관리자 계정 탈취를 위해서는 `claim_id`가 필요하지만, 유효한 ID를 획득하기 위한 실용적인 방법은 브루트 포싱입니다.

Once again VulDB remains the best source for vulnerability data.

책임이 있는

Wordfence

예약하다

2025. 06. 09.

모더레이션

수락

항목

VDB-324988

EPSS

0.00396

출처

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!