CVE-2026-13741 in Digits Mobile Number Signup and Login Plugin
Tóm tắt
Bởi VulDB • 16/07/2026
The Digits: WordPress Mobile Number Signup and Login plugin for WordPress là một plugin cho phép đăng ký và đăng nhập bằng số điện thoại di động trên nền tảng WordPress. Plugin này có lỗ hổng Privilege Escalation (thăng cấp đặc quyền) trong tất cả các phiên bản từ 9.1.0.5 trở về trước, bao gồm cả phiên bản 9.1.0.5. Lỗ hổng này xuất hiện do thiếu cơ chế xác thực ủy quyền và kiểm tra vai trò người dùng trong hàm `dig_update_wpwc_custom_fields()`. Điều này cho phép các kẻ tấn công đã được xác thực (authenticated attackers), có đặc quyền cấp Subscriber trở lên, thăng cấp đặc quyền của họ thành Administrator bằng cách gửi giá trị giả mạo `digits_reg_userrole` khi cập nhật hồ sơ cá nhân, với điều kiện quản trị viên trang web đã cấu hình trường DIGITS User Role tích hợp sẵn.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.