CVE-2022-1903

High

The ARMember WordPress plugin before 3.4.8 is vulnerable to account takeover (even the administrator) due to missing nonce and…

WPScan·CWE-862·Published 2022-06-27

CVSS

8.1

EPSS

0.07

KEV

Exploits

cve.orgen

283 chars

The ARMember WordPress plugin before 3.4.8 is vulnerable to account takeover (even the administrator) due to missing nonce and authorization checks in an AJAX action available to unauthenticated users, allowing them to change the password of arbitrary users by knowing their username

NVDen

283 chars

NVDes

354 chars

El plugin ARMember de WordPress versiones anteriores a 3.4.8 es vulnerable a una toma de control de cuentas (incluso del administrador) debido a una falta de comprobaciones de autorización y nonce en una acción AJAX disponible para usuarios no autenticados, lo que les permite cambiar la contraseña de usuarios arbitrarios conociendo su nombre de usuario

CVSS metrics across sources

Version	Type	Source	Base	Exp	Impact	Vector
2.0	Primary	NVD	6.8	8.6	6.4	AV:N/AC:M/Au:N/C:P/I:P/A:P
3.1	Primary	NVD	8.1	2.2	5.9	CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H