PT-2025-24607 · WordPress · Rh - Real Estate Wordpress Theme
Thái An
·
Publicado
2025-06-10
·
Atualizado
2025-07-17
·
CVE-2025-4601
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
RH - Tema WordPress Real Estate versões anteriores à 4.4.1
Descrição
O problema está relacionado ao escalonamento de privilégios devido ao tema não restringir adequadamente as funções de usuário que podem ser atualizadas como parte da função
inspiry update profile(). Isso permite que atacantes autenticados com acesso de nível de assinante ou superior alterem sua função para a de administrador.Recomendações
Para versões anteriores à 4.4.1, atualize para a versão 4.4.1 para corrigir totalmente a vulnerabilidade.
Como medida temporária, considere restringir o acesso à função
inspiry update profile() até que o problema seja resolvido.Correção
LPE
Improper Privilege Management
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Rh - Real Estate Wordpress Theme