CVE-2026-7802 in Frontend Admin by DynamiApps Plugin
요약
\~에 의해 VulDB • 2026. 05. 28.
WordPress용 Frontend Admin by DynamiApps 플러그인은 3.29.2 버전을 포함하여 모든 버전에서 권한 우회(authorization bypass) 취약점이 존재합니다. 이는 플러그인이 사용자가 작업을 수행할 권한이 있는지 적절하게 검증하지 않기 때문입니다. 이로 인해 구독자(subscriber) 레벨 이상의 접근 권한을 가진 인증된 공격자가 임의의 ?user_id= 값을 제공하여 관리자의 user_pass, user_email, first_name, last_name 및 기타 프로필 필드를 덮어쓸 수 있으며, 이를 통해 직접 비밀번호 교체 또는 이메일 리디렉션 비밀번호 재설정을 사용하여 전체 관리자 계정 탈취(account takeover)가 가능해집니다. 공격을 성공시키려면 대상이 되는 Edit-User 폼의 'Roles' 구성 설정이 비어 있어야 합니다. 비어 있지 않은 역할(roles) 목록이 구성된 경우, load_data() 함수는 허용된 목록에 속하지 않는 사용자의 사용자 ID를 'none'으로 설정하므로, 해당 폼을 통해 관리자가 표적이 되는 것을 방지합니다.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.