CVE-2025-1408

Nome do Software Vulnerável e Versões Afetadas O plugin ProfileGrid – User Profiles, Groups and Communities para WordPress, versões até e incluindo a 5.9.4.4.

Descrição O problema está relacionado à modificação não autorizada de dados devido à ausência de uma verificação de capacidade nas funções pm decline join group request e pm approve join group request. Isso permite que atacantes autenticados com acesso de nível de Assinante ou superior aprovem ou recusem solicitações para entrar no grupo, ações que normalmente deveriam estar disponíveis apenas para administradores.

Recomendações Para versões até e incluindo a 5.9.4.4, considere desativar as funções pm decline join group request e pm approve join group request até que um patch esteja disponível para prevenir a modificação não autorizada de dados. Restrinja o acesso a essas funções apenas para usuários de nível administrador como uma solução temporária.