The User Activity Log plugin is vulnerable to a limited options update in versions up to, and including, 2.2. The failed-login handler 'ual_shook_wp_login_failed' lacks a capability check and writes failed usernames directly into update_option() calls. This makes it possible for unauthenticated attackers to push select site options from 0 to a non-zero value, allowing them to reopen registration or corrupt options like 'wp_user_roles', breaking wp-admin access.
The User Activity Log plugin versions up to 2.2 lacks capability checks in the failed-login handler, allowing unauthenticated attackers to modify WordPress site options. This vulnerability enables attackers to reopen user registration or corrupt critical options, potentially disrupting administrative access.
يفتقر مكون User Activity Log إلى فحوصات الصلاحيات في معالج تسجيل الدخول الفاشل، مما يسمح للمهاجمين غير المصرح لهم بتعديل خيارات موقع WordPress. يمكن للمهاجمين إعادة فتح تسجيل المستخدمين أو إفساد الخيارات الحرجة مثل wp_user_roles.
User Activity Log plugin versions up to 2.2 has a capability check vulnerability in the failed-login handler that allows unauthenticated attackers to modify WordPress site options. Attackers can reopen user registration or corrupt critical options like wp_user_roles, disrupting admin access.
Update the User Activity Log plugin to version 2.3 or later immediately. Implement Web Application Firewall (WAF) rules to block suspicious option update requests. Restrict WordPress registration settings and monitor failed login attempts for anomalous patterns.
قم بتحديث مكون User Activity Log إلى الإصدار 2.3 أو أحدث فوراً. طبّق قواعد جدار حماية تطبيقات الويب لحجب طلبات تحديث الخيارات المريبة. قيّد إعدادات تسجيل WordPress ومراقبة محاولات تسجيل الدخول الفاشلة.