CVE-2025-3063

Nome do Software Vulnerável e Versões Afetadas Plugin Shopper Approved Reviews para WordPress versões 2.0 a 2.1

Descrição O problema está relacionado à modificação não autorizada de dados que pode levar ao escalonamento de privilégios devido à falta de uma verificação de capacidade na função ajax callback update sa option(). Isso possibilita que atacantes autenticados, com acesso de nível de Assinante ou superior, atualizem opções arbitrárias no site WordPress. Os atacantes podem aproveitar isso para atualizar a função padrão para registro para Administrador e habilitar o registro de usuários, permitindo-lhes obter acesso de usuário administrativo a um site vulnerável.

Recomendações Para as versões 2.0 a 2.1, considere desabilitar a função ajax callback update sa option() até que um patch esteja disponível para prevenir a modificação não autorizada de dados. Restrinja o acesso ao site WordPress para minimizar o risco de exploração. Evite usar o plugin afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.