CVE-2025-5149

Nome do Software Vulnerável e Versões Afetadas Versões do WCMS até a 8.3.11

Descrição Foi identificada uma falha crítica no componente de Login, afetando especificamente a função getMemberByUid. A manipulação do argumento uid resulta em autenticação inadequada, permitindo ataques remotos. A complexidade do ataque é relativamente alta e a exploração parece ser difícil. O problema foi divulgado publicamente e o fornecedor foi contatado, mas não respondeu.

Recomendações Para versões do WCMS até a 8.3.11, como solução temporária, considere desativar a função getMemberByUid até que uma correção esteja disponível. Restrinja o acesso ao endpoint /index.php?articleadmin/getallcon para minimizar o risco de exploração. Evite utilizar o argumento uid no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.