The Riaxe Product Customizer plugin for WordPress is vulnerable to authorization bypass in all versions up to, and including, 2.1.2. This is due to the plugin registering a REST API route at POST /wp-json/InkXEProductDesignerLite/customer/delete_customer without a permission_callback, causing WordPress to default to allowing unauthenticated access, and the inkxe_delete_customer() callback function taking an array of user IDs from the request body and passing each one directly to wp_delete_user() without any authentication or authorization checks. This makes it possible for unauthenticated attackers to delete arbitrary WordPress user accounts, including administrator accounts, leading to complete site lockout and data loss.
The Riaxe Product Customizer WordPress plugin versions up to 2.1.2 contain an authorization bypass vulnerability in its REST API endpoint that allows unauthenticated attackers to delete arbitrary user accounts. This vulnerability could lead to complete site lockout, data loss, and administrative account compromise.
تحتوي إضافة Riaxe Product Customizer للإصدارات حتى 2.1.2 على ثغرة تجاوز التفويض في نقطة نهاية REST API التي تسمح للمهاجمين غير المصرح لهم بحذف حسابات المستخدمين التعسفية. تفتقر الإضافة إلى فحوصات المصادقة والتفويض المناسبة عند معالجة طلبات حذف المستخدمين. قد تؤدي هذه الثغرة إلى قفل الموقع بالكامل وفقدان البيانات والمساس بحسابات المسؤول.
The Riaxe Product Customizer WordPress plugin versions up to 2.1.2 contain an authorization bypass vulnerability in its REST API endpoint that allows unauthenticated attackers to delete arbitrary user accounts. This vulnerability could lead to complete site lockout, data loss, and administrative account compromise.
Update the Riaxe Product Customizer plugin to version 2.1.3 or later immediately. If immediate patching is not possible, disable the plugin and remove it from your WordPress installation. Implement Web Application Firewall rules to block POST requests to /wp-json/InkXEProductDesignerLite/customer/delete_customer endpoints. Review WordPress user logs for unauthorized deletion attempts and restore deleted administrator accounts from backups if necessary.
قم بتحديث إضافة Riaxe Product Customizer إلى الإصدار 2.1.3 أو أحدث فوراً. إذا لم يكن التحديث الفوري ممكناً، قم بتعطيل الإضافة وإزالتها من تثبيت WordPress الخاص بك. طبق قواعد جدار حماية تطبيقات الويب لحظر طلبات POST إلى نقاط نهاية /wp-json/InkXEProductDesignerLite/customer/delete_customer. راجع سجلات مستخدمي WordPress بحثاً عن محاولات الحذف غير المصرح بها واستعد حسابات المسؤول المحذوفة من النسخ الاحتياطية إن لزم الأمر.