CVE-2025-2907

Nome do Software Vulnerável e Versões Afetadas Versões do plugin Order Delivery Date para WordPress anteriores à 12.3.1

Descrição O problema refere-se à falta de verificações de autorização e CSRF durante a importação de configurações no plugin Order Delivery Date para WordPress. Isso permite que atacantes modifiquem opções sensíveis, como default user role para administrador e users can register, permitindo-lhes registrar-se como administradores do site e obter controle total.

Recomendações Para versões anteriores à 12.3.1, atualize para a versão 12.3.1 ou posterior para resolver o problema. Como medida paliativa temporária, considere restringir o acesso à funcionalidade de importação de configurações até que um patch seja aplicado. Além disso, monitore atentamente os registros de usuários e as atribuições de funções para detectar qualquer atividade maliciosa em potencial.