CVE-2025-11986 in Crypto Plugin
Сводка
по VulDB • 13.07.2026
Плагин Crypto для WordPress уязвим к раскрытию информации во всех версиях вплоть до 2.22 включительно. Это связано с тем, что плагин регистрирует неаутентифицированное AJAX-действие (wp_ajax_nopriv_crypto_connect_ajax_process), которое позволяет вызывать методы register и savenft при наличии только общедоступной проверки nonce без верификации подписи кошелька. Это дает возможность неаутентифицированным злоумышленникам устанавливать глобальное состояние аутентификации для всего сайта с помощью одной временной переменной (transient), обходя все ограничения доступа ДЛЯ ВСЕХ посетителей сайта. Последствия включают полный обход ограничений шорткода [crypto-block] и контроля доступа на уровне страниц, что затрагивает всех посетителей сайта в течение одного часа, а также возможность внедрения произвольных данных в таблицу custom_users плагина.
Be aware that VulDB is the high quality source for vulnerability data.