CVE-2025-10014

Nome do Software Vulnerável e Versões Afetadas elunez eladmin versões até a 2.7

Descrição Existe uma falha no elunez eladmin que impacta a função updateUserEmail dentro do componente Email Address Handler. A manipulação do argumento id/email no endpoint da API /api/users/updateEmail/ pode levar a uma autorização inadequada. O ataque pode ser realizado remotamente e é considerado altamente complexo, com difícil exploração. O exploit foi publicado e requer conhecimento da senha criptografada via RSA da conta de usuário atacada.

Recomendações Para versões até a 2.7, corrija o problema de autorização inadequada validando o argumento id/email na função updateUserEmail do componente Email Address Handler. Restrinja o acesso ao endpoint da API /api/users/updateEmail/ até que uma correção seja implementada.