CVE-2025-5947

Nome do Software Vulnerável e Versões Afetadas Plugin Service Finder Bookings para WordPress versões até e incluindo 6.0

Descrição O plugin Service Finder Bookings para WordPress está suscetível a um problema de escalonamento de privilégios devido a um bypass de autenticação. Isso ocorre porque o plugin não valida corretamente o valor do cookie de um usuário antes de conceder acesso através da função service finder switch back(). Isso permite que atacantes não autenticados façam login como qualquer usuário, incluindo administradores. Mais de 13.800 tentativas de exploit foram registradas desde agosto, indicando exploração ativa desta questão. A vulnerabilidade permite que atacantes contornem a autenticação e obtenham acesso não autorizado a qualquer conta, incluindo contas de administrador, potencialmente levando à tomada de controle, injeção de código malicioso, redirecionamento para páginas de phishing ou hospedagem de malware.

Recomendações Atualize para a versão 6.1 do Service Finder Bookings para corrigir esta vulnerabilidade.