CVE-2025-2470

Nome do Software Vulnerável e Versões Afetadas Plugin Service Finder Bookings para WordPress, versões até e incluindo a 5.1

Descrição O plugin Service Finder Bookings para WordPress está vulnerável a escalonamento de privilégios devido à falta de restrição no cargo de usuário na função nsl registration store extra input. Isso permite que atacantes não autenticados registrem uma conta no site com um cargo arbitrário, incluindo Administrador, ao se registrar via login social. O plugin Nextend Social Login deve estar instalado e configurado para explorar esse problema.

Recomendações Para versões até e incluindo a 5.1, atualize para uma versão que inclua uma correção para este problema. Como solução temporária, considere desabilitar a função nsl registration store extra input até que um patch esteja disponível. Restrinja o acesso aos recursos de login social para minimizar o risco de exploração. Evite usar login social para registro até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.