CVE-2025-15521: Kritische Sicherheitslücke in WordPress-Plugin "Academy LMS"
⚠️ CVE-Referenzen:
CVE-2025-15521
Zusammenfassung
Eine Schwachstelle im WordPress-Plugin "Academy LMS" ermöglicht unautorisierte Nutzer, Passwörter anderer Konten, inklusive Administratoren, zu ändern. Das Problem liegt in der mangelhaften Identitätsüberprüfung bei Passwort-Updates, da das Plugin lediglich auf einen öffentlichen Nonce-Wert vertraut. Angreifer können diese Sicherheitslücke ausnutzen, um Zugriff auf Nutzerkonten ohne korrekte Authentifizierung zu erlangen und so die Accountsicherheit fundamental zu kompromittieren.
WordPress - Academy Lms – WordPress Lms Plugin For Complete Elearning Solution - CRITICAL - CVE-2025-15521.
The Academy LMS plugin for WordPress is susceptible to a privilege escalation vulnerability which allows unauthorized users to change passwords of other accounts, including those belonging to administrators. This issue arises from inadequate user identity validation during password updates, as the plugin solely depends on a publicly available nonce for authorization. Consequently, attackers can exploit this flaw to gain access to user accounts without proper authentication, fundamentally compromising account security.
Quelle: securityvulnerability.io