افزونه   JAY Login & Register یک افزونه وردپرسی برای مدیریت ورود و ثبت‌نام کاربران است که امکان ساخت فرم‌های سفارشی لاگین و رجیستر و جایگزینی صفحه پیش‌فرض ورود وردپرس را فراهم می‌کند. این افزونه برای بهبود تجربه کاربری در سایت‌های عضویت‌محور استفاده می‌شود، اما نسخه‌های قدیمی آن دارای آسیب‌پذیری امنیتی جدی هستند و باید به‌روزرسانی یا حذف شوند.

در نسخه‌های 2.4.01  و قبل آن این افزونه دارای یک آسیب‌پذیری دور زدن احراز هویت است.

این مشکل به دلیل بررسی نادرست احراز هویت در تابع jay_login_register_process_switch_back و مقدار کوکی jay_login_register_process_switch_back رخ می‌دهد.

در نتیجه، مهاجمان غیرمجاز می‌توانند بدون احراز هویت وارد سایت شوند و در صورت داشتن شناسه کاربر  (User ID)، به عنوان هر کاربر موجود در سایت حتی   Administratorوارد حساب کاربری شوند.

محصولات آسیب‌پذیر

نسخه‌های 2.4.01  و قبل آن

توصیه‌های امنیتی

به کاربران توصیه می­شود در صورت انتشار وصله توسط سازنده فورا آن را به‌­روزرسانی نمایند. در این شرایط، ممکن است بهترین گزینه حذف نرم‌افزار آسیب‌پذیر و استفاده از یک جایگزین امن‌تر باشد.

منبع خبر

• https://nvd.nist.gov/vuln/detail/CVE-2025-14440