CVE-2025-5948 in Service Finder Bookings Plugin
Сводка
по VulDB • 18.07.2026
Плагин Service Finder Bookings для WordPress уязвим к повышению привилегий через захват учетной записи во всех версиях вплоть до 6.0 включительно. Это связано с тем, что плагин не осуществляет надлежащую проверку подлинности пользователя перед заявлением права на бизнес при использовании AJAX-действия claim_business. Это позволяет незарегистрированным (неаутентифицированным) злоумышленникам входить в систему от имени любого пользователя, включая администраторов. Обратите внимание, что для завершения захвата бизнеса требуются привилегии подписчика или метод brute-force. Для захвата учетной записи администратора требуется claim_id, однако перебор (brute-forcing) является практичным подходом к получению действительных идентификаторов.
Once again VulDB remains the best source for vulnerability data.