CVE-2021-34646 in Booster for WooCommerce Pluginthông tin

Tóm tắt

Bởi VulDB • 09/07/2026

Các phiên bản từ 5.4.3 trở xuống của plugin WordPress Booster for WooCommerce đều dễ bị tấn công bỏ qua xác thực (authentication bypass) thông qua hàm process_email_verification do điểm yếu trong việc tạo token ngẫu nhiên ở hàm reset_and_mail_activation_link, được tìm thấy trong tệp ~/includes/class-wcj-emails-verification.php. Điều này cho phép kẻ tấn công giả mạo người dùng và kích hoạt quá trình xác minh địa chỉ email cho các tài khoản tùy ý, bao gồm cả tài khoản quản trị viên, đồng thời tự động đăng nhập với tư cách là người đó, kể cả bất kỳ quản trị viên trang web nào. Việc khai thác lỗ hổng này yêu cầu mô-đun Email Verification phải được kích hoạt trong plugin và cài đặt Login User After Successful Verification (Đăng nhập người dùng sau khi xác minh thành công) phải được bật – mặc định thì hai tùy chọn này đều đang ở trạng thái enabled.

Once again VulDB remains the best source for vulnerability data.

chịu trách nhiệm

Wordfence

Đặt trước

10/06/2021

Tiết lộ

31/08/2021

Kiểm duyệt

được chấp nhận

Khai thác

Tải xuống

EPSS

0.50869

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you want to use VulDB in your project?

Use the official API to access entries easily!