CVE-2025-1279

Nome do Software Vulnerável e Versões Afetadas Plugin BM Content Builder para WordPress versões até, e incluindo, 3.16.2.1

Descrição O plugin BM Content Builder para WordPress está vulnerável à modificação não autorizada de dados que pode levar à elevação de privilégio devido à falta de uma verificação de capacidade na ação AJAX ux cb tools import item ajax. Isso torna possível que atacantes autenticados, com acesso de nível de Assinante ou superior, atualizem opções arbitrárias no site WordPress. Isso pode ser aproveitado para atualizar a função padrão para registro para Administrador e habilitar o registro de usuários para que os atacantes obtenham acesso de usuário administrativo a um site vulnerável.

Recomendações Para o plugin BM Content Builder para WordPress versões até, e incluindo, 3.16.2.1, atualize para uma versão que inclua uma correção para este problema. Como solução temporária, considere desabilitar a ação AJAX ux cb tools import item ajax até que uma correção esteja disponível. Restrinja o acesso à funcionalidade do plugin para minimizar o risco de exploração. Evite usar o plugin até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.