CVE-2021-24655

Versões do WP User Manager anteriores à 2.6.3

A vulnerabilidade permite que qualquer usuário autenticado redefina a senha de outro usuário para um valor arbitrário, bastando para isso conhecer apenas o ID do usuário, e obtenha acesso à conta dele. Isso ocorre porque o plugin não verifica se o ID do usuário cuja senha será redefinida corresponde à chave de redefinição fornecida.

Para versões anteriores à 2.6.3, atualize para a versão 2.6.3 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à funcionalidade de redefinição de senha para minimizar o risco de exploração.