CVE-2025-2253

Nome do Software Vulnerável e Versões Afetadas Versões do plugin IMITHEMES Listing até a 3.3 (inclusive)

Descrição O problema está relacionado ao escalonamento de privilégios via apropriação de conta. Isso ocorre porque o plugin não valida corretamente o valor de um código de verificação antes de atualizar a senha de um usuário por meio da função imic reset password init(). Isso possibilita que atacantes não autenticados alterem as senhas de qualquer usuário, incluindo administradores, caso o e-mail do usuário seja conhecido.

Recomendações Para as versões do plugin IMITHEMES Listing até a 3.3 (inclusive), considere desativar a função imic reset password init() até que um patch esteja disponível, a fim de impedir que atacantes não autenticados alterem as senhas dos usuários. Restrinja o acesso à funcionalidade de redefinição de senha para minimizar o risco de exploração. Evite utilizar o recurso de redefinição de senha até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.