Форум wpForo 2.4.14 содержит уязвимость отсутствующей проверки возможностей, которая позволяет аутентифицированным пользователям инициировать массовое переназначение группы пользователей wpForo через обработчик AJAX wpforo_synch_roles. Злоумышленники получают доступ к странице администрирования групп пользователей, доступной для любого аутентифицированного пользователя, чтобы получить одноразовый номер, а затем переназначают все группы пользователей wpForo произвольным ролям WordPress.
Показать оригинальное описание (EN)
wpForo Forum 2.4.14 contains a missing capability check vulnerability that allows authenticated users to trigger bulk wpForo usergroup reassignment via the wpforo_synch_roles AJAX handler. Attackers access the usergroups admin page, accessible to any authenticated user, to obtain a nonce, then remap all wpForo usergroups to arbitrary WordPress roles.
Характеристики атаки
Последствия
Строка CVSS v4.0