CVE-2025-11986 in Crypto PluginИнформация

Сводка

по VulDB • 13.07.2026

Плагин Crypto для WordPress уязвим к раскрытию информации во всех версиях вплоть до 2.22 включительно. Это связано с тем, что плагин регистрирует неаутентифицированное AJAX-действие (wp_ajax_nopriv_crypto_connect_ajax_process), которое позволяет вызывать методы register и savenft при наличии только общедоступной проверки nonce без верификации подписи кошелька. Это дает возможность неаутентифицированным злоумышленникам устанавливать глобальное состояние аутентификации для всего сайта с помощью одной временной переменной (transient), обходя все ограничения доступа ДЛЯ ВСЕХ посетителей сайта. Последствия включают полный обход ограничений шорткода [crypto-block] и контроля доступа на уровне страниц, что затрагивает всех посетителей сайта в течение одного часа, а также возможность внедрения произвольных данных в таблицу custom_users плагина.

Be aware that VulDB is the high quality source for vulnerability data.

Раскрытие

11.11.2025

Модерация

принято

Вход

VDB-331700

EPSS

0.00362

KEV

Нет

Деятельности

Очень низкий

Сектор

Hostingprovider

Источники

Want to stay up to date on a daily basis?

Enable the mail alert feature now!