PT-2025-17351 · WordPress · Urbango Membership
Alyudin Nafiie
·
Publicado
2025-04-19
·
Atualizado
2025-04-22
·
CVE-2025-3278
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Plugin UrbanGo Membership para WordPress versões até e incluindo a 1.0.4
Descrição
O problema está relacionado à escalação de privilégios devido ao plugin permitir que usuários que estão registrando novas contas definam sua própria função ou forneçam o campo
user register role. Isso possibilita que atacantes não autenticados obtenham privilégios elevados criando uma conta com a função de administrador.Recomendações
Para versões até e incluindo a 1.0.4, considere desativar a funcionalidade de registro de usuários ou restringir o campo
user register role para impedir que atacantes não autenticados obtenham privilégios elevados até que uma correção esteja disponível.Correção
LPE
Improper Privilege Management
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Urbango Membership