CVE-2025-3064

Nome do Software Vulnerável e Versões Afetadas: Versões do WPFront User Role Editor até a 4.2.1

Descrição: O problema está relacionado à Falsificação de Solicitação entre Sites (Cross-Site Request Forgery), causado pela validação de nonce ausente ou incorreta na função whitelist options(). Isso permite que atacantes não autenticados atualizem a opção de função padrão, o que pode ser utilizado para escalonamento de privilégios por meio de uma solicitação forjada. Os atacantes devem induzir um administrador do site a realizar uma ação, como clicar em um link. Este problema só é explorável em instâncias multisite.

Recomendações: Para versões até a 4.2.1, atualize para uma versão superior à 4.2.1 para resolver o problema. Como uma solução temporária, considere restringir o acesso à função whitelist options() até que uma correção esteja disponível. Além disso, tenha cuidado ao clicar em links de fontes não confiáveis para minimizar o risco de exploração.