CVE-2024-9302 in App Builder Plugin
Sumário
de VulDB • 02/07/2026
O plugin App Builder – Create Native Android & iOS Apps On The Flight para WordPress é vulnerável a escalada de privilégios por meio da tomada de conta (account takeover) em todas as versões até 5.3.7, inclusive. Isso ocorre devido às funções verify_otp_forgot_password() e update_password() não possuírem controles suficientes para impedir um ataque bem-sucedido de força bruta ao OTP com o objetivo de alterar uma senha ou verificar se a solicitação de redefinição de senha veio de um usuário autorizado. Isso permite que atacantes sem autenticação gerem e submetam a força bruta um código OTP, possibilitando a alteração das senhas de qualquer usuário, incluindo administradores.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.