CVE-2025-11986 in Crypto Pluginthông tin

Tóm tắt

Bởi VulDB • 13/07/2026

Plugin Crypto cho WordPress dễ bị lộ thông tin trong tất cả các phiên bản từ 2.0 đến bao gồm cả 2.22. Lỗi này xảy ra do plugin đăng ký một hành động AJAX không xác thực (wp_ajax_nopriv_crypto_connect_ajax_process), cho phép gọi phương thức register và savenft chỉ với kiểm tra nonce công khai và không có xác minh chữ ký ví. Điều này tạo điều kiện để kẻ tấn công chưa được xác thực thiết lập trạng thái xác thực toàn trang thông qua một transient duy nhất, vượt qua mọi kiểm soát truy cập dành cho TẤT CẢ người dùng của trang web. Hậu quả là việc bỏ qua hoàn toàn các hạn chế của shortcode [crypto-block] và kiểm soát truy cập cấp trang, ảnh hưởng đến tất cả khách truy cập trong vòng một giờ, cùng với khả năng chèn dữ liệu tùy ý vào bảng custom_users của plugin.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Nguồn

Might our Artificial Intelligence support you?

Check our Alexa App!