The Latest Registered Users plugin for WordPress is vulnerable to unauthorized user data export in all versions up to, and including, 1.4. This is due to missing authorization and nonce validation in the rnd_handle_form_submit function hooked to both admin_post_my_simple_form and admin_post_nopriv_my_simple_form actions. This makes it possible for unauthenticated attackers to export complete user details (excluding passwords and sensitive tokens) in CSV format via the 'action' parameter.
The Latest Registered Users WordPress plugin versions up to 1.4 allows unauthenticated attackers to export complete user details in CSV format due to missing authorization and nonce validation. This vulnerability enables unauthorized access to sensitive user information without requiring authentication.
يحتوي المكون الإضافي Latest Registered Users لـ WordPress على ثغرة في دالة rnd_handle_form_submit التي تفتقد التحقق من الصلاحيات والتوكن. يمكن للمهاجمين غير المصرح لهم استخدام معامل 'action' لتصدير قائمة كاملة بتفاصيل المستخدمين بما في ذلك البيانات الشخصية والبريد الإلكتروني والمعلومات الأخرى.
يسمح المكون الإضافي Latest Registered Users لـ WordPress بالإصدارات حتى 1.4 للمهاجمين غير المصرح لهم بتصدير تفاصيل المستخدمين الكاملة بصيغة CSV بسبب نقص التحقق من الصلاحيات والتوكن. تمكن هذه الثغرة من الوصول غير المصرح إلى معلومات المستخدمين الحساسة دون الحاجة للمصادقة.
Update the Latest Registered Users plugin to version 1.5 or later immediately. Implement proper authorization checks and nonce validation in the rnd_handle_form_submit function. Disable the plugin if immediate updates are unavailable. Monitor user export activities and audit logs for suspicious data access patterns.
قم بتحديث مكون Latest Registered Users إلى الإصدار 1.5 أو أحدث فوراً. قم بتطبيق فحوصات الصلاحيات الصحيحة والتحقق من التوكن في دالة rnd_handle_form_submit. قم بتعطيل المكون إذا لم تتمكن من التحديث الفوري. راقب أنشطة تصدير المستخدمين وسجلات التدقيق للأنماط المريبة في الوصول إلى البيانات.