CVE-2025-3605

Nome do Software Vulnerável e Versões Afetadas Plugin Frontend Login and Registration Blocks para WordPress versões 1.0.0 a 1.0.7

Descrição O problema está relacionado ao escalonamento de privilégios via tomada de conta. Isso ocorre porque o plugin não valida corretamente a identidade de um usuário antes de atualizar seus detalhes, como e-mail, por meio da função flr blocks user settings handle ajax callback(). Como resultado, atacantes não autenticados podem alterar endereços de e-mail de quaisquer usuários, incluindo os de administradores, e usar isso para redefinir a senha do usuário e obter acesso à sua conta.

Recomendações Para as versões 1.0.0 a 1.0.7, atualize para uma versão superior à 1.0.7 para resolver o problema. Como medida temporária (workaround), considere desabilitar a função flr blocks user settings handle ajax callback() até que um patch esteja disponível.