Service Finder SMS System <= 2.0.0 - Unauthenticated Privilege Escalation
अनुवाद हो रहा है…प्लेटफ़ॉर्म
wordpress
घटक
service-finder-sms-system
में ठीक किया गया
2.0.1
CVE-2025-5954 is a privilege escalation vulnerability discovered in the Service Finder SMS System WordPress plugin. This flaw allows unauthenticated attackers to register as administrator users, granting them complete control over the WordPress site. The vulnerability affects versions 0.0.0 through 2.0.0, but a patch is available in version 2.0.1.
इस CVE को अपने प्रोजेक्ट में पहचानें
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
प्रभाव और हमले की स्थितियाँअनुवाद हो रहा है…
The impact of CVE-2025-5954 is severe. Successful exploitation allows an attacker to bypass authentication and gain administrator privileges on the WordPress site. This grants them full control, including the ability to modify content, install malicious plugins, steal sensitive data (user credentials, customer information, financial details), and potentially pivot to other systems on the network. The lack of role restriction during user registration makes this vulnerability particularly easy to exploit, requiring no specialized knowledge or tools.
शोषण संदर्भअनुवाद हो रहा है…
This vulnerability was publicly disclosed on August 1, 2025. No public proof-of-concept (POC) code has been released at the time of writing, but the ease of exploitation suggests that a POC is likely to emerge. It is not currently listed on the CISA KEV catalog, but its critical severity warrants close monitoring. The vulnerability's simplicity increases the likelihood of exploitation in automated attacks.
कौन जोखिम में हैअनुवाद हो रहा है…
WordPress sites utilizing the Service Finder SMS System plugin, particularly those with limited security controls or those that allow open user registration, are at significant risk. Shared hosting environments where plugin updates are not managed centrally are also particularly vulnerable.
पहचान के चरणअनुवाद हो रहा है…
• wordpress / composer / npm:
grep -r 'aonesms_fn_savedata_after_signup' /var/www/html/wp-content/plugins/service-finder-sms-system/• wordpress / composer / npm:
wp plugin list --status=inactive | grep 'service-finder-sms-system'• wordpress / composer / npm:
wp plugin list --status=active | grep 'service-finder-sms-system'हमले की समयरेखा
- Disclosure
disclosure
खतरा खुफिया
एक्सप्लॉइट स्थिति
EPSS
0.20% (42% शतमक)
CISA SSVC
CVSS वेक्टर
इन मेट्रिक्स का क्या मतलब है?
- Attack Vector
- नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
- Attack Complexity
- निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
- Privileges Required
- कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
- User Interaction
- कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
- Scope
- अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
- Confidentiality
- उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
- Integrity
- उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
- Availability
- उच्च — पूर्ण क्रैश या संसाधन समाप्ति। पूर्ण सेवा से इनकार।
प्रभावित सॉफ्टवेयर
कमजोरी वर्गीकरण (CWE)
समयरेखा
- आरक्षित
- प्रकाशित
- संशोधित
- EPSS अद्यतन
शमन और वर्कअराउंडअनुवाद हो रहा है…
The primary mitigation for CVE-2025-5954 is to immediately upgrade the Service Finder SMS System plugin to version 2.0.1 or later. If upgrading is not immediately feasible, consider temporarily disabling the plugin to prevent new user registrations. While a direct workaround is unavailable, implementing stricter user registration policies within WordPress itself (e.g., requiring administrator approval for new accounts) can provide a temporary layer of defense. Monitor WordPress logs for suspicious user registration attempts.
कैसे ठीक करेंअनुवाद हो रहा है…
Actualice el plugin Service Finder SMS System a la versión 2.0.1 o superior para mitigar la vulnerabilidad de escalada de privilegios. Esta actualización corrige la falta de restricciones en la selección de roles de usuario durante el registro, previniendo que atacantes no autenticados se registren como administradores.
CVE सुरक्षा न्यूज़लेटर
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
अक्सर पूछे जाने वाले सवालअनुवाद हो रहा है…
What is CVE-2025-5954 — Privilege Escalation in Service Finder SMS System?
CVE-2025-5954 is a critical vulnerability in the Service Finder SMS System WordPress plugin allowing attackers to register as administrators, gaining full control of the site.
Am I affected by CVE-2025-5954 in Service Finder SMS System?
If you are using Service Finder SMS System version 0.0.0 through 2.0.0, you are affected by this vulnerability.
How do I fix CVE-2025-5954 in Service Finder SMS System?
Upgrade the Service Finder SMS System plugin to version 2.0.1 or later to resolve this privilege escalation vulnerability.
Is CVE-2025-5954 being actively exploited?
While no active exploitation has been confirmed, the ease of exploitation suggests it is likely to be targeted.
Where can I find the official Service Finder SMS System advisory for CVE-2025-5954?
Refer to the plugin developer's website or WordPress plugin repository for the official advisory and update information.
क्या आपका प्रोजेक्ट प्रभावित है?
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।