Alloggio Membership <= 1.1 - Authentication Bypass via Social Login Account Takeover 漏洞信息(CVE-2025-1638)

一、漏洞 CVE-2025-1638 基础信息

AIGC 神龙大模型
美国国家漏洞数据库 NVD

漏洞标题

Alloggio Membership 1.1及下版本社交登录认证绕过漏洞

来源：AIGC 神龙大模型

漏洞描述信息

针对WordPress的Alloggio Membership插件在所有版本中，包括1.0.2版本，存在身份验证绕过漏洞。这是由于该插件在通过alloggio_membership_init_rest_api_facebook_login和alloggio_membership_init_rest_api_google_login函数验证用户身份时存在缺陷。这使得未认证的攻击者能够在不知道密码的情况下，以任何用户的身份登录，包括管理员。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

来源：AIGC 神龙大模型

漏洞类别

认证机制不恰当

来源：AIGC 神龙大模型

漏洞标题

Alloggio Membership <= 1.1 - Authentication Bypass via Social Login Account Takeover

来源：美国国家漏洞数据库 NVD

漏洞描述信息

The Alloggio Membership plugin for WordPress is vulnerable to Authentication Bypass in all versions up to, and including, 1.0.2. This is due to the plugin not properly validating a user's identity through the alloggio_membership_init_rest_api_facebook_login and alloggio_membership_init_rest_api_google_login functions. This makes it possible for unauthenticated attackers to log in as any user, including administrators, without knowing a password.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

来源：美国国家漏洞数据库 NVD

漏洞类别

使用候选路径或通道进行的认证绕过

来源：美国国家漏洞数据库 NVD

二、漏洞 CVE-2025-1638 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2025-1638 的情报信息

标题： Alloggio Membership <= 1.1 - Authentication Bypass via Social Login Account Takeover -- 🔗来源链接

标签：
标题： Alloggio - Hotel Booking Theme by Edge-Themes | ThemeForest -- 🔗来源链接

标签：
https://nvd.nist.gov/vuln/detail/CVE-2025-1638

一、 漏洞 CVE-2025-1638 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2025-1638 的公开POC

三、漏洞 CVE-2025-1638 的情报信息

一、漏洞 CVE-2025-1638 基础信息