CVE-2025-7038

Nome do Software Vulnerável e Versões Afetadas Plugin LatePoint para WordPress versões até a 5.1.94

Descrição O plugin LatePoint para WordPress possui uma falha que permite contornar a autenticação. Isso se deve à verificação de identidade inadequada dentro da rota steps load step do endpoint de API latepoint route call. O endpoint processa o e-mail do cliente e campos relacionados fornecidos pelo cliente antes de invocar o manipulador de login interno sem verificar o status de login, verificações de capacidade ou um nonce AJAX válido. Isso permite que atacantes não autenticados façam login na conta de qualquer cliente. O endpoint de API vulnerável é /latepoint route call. O parâmetro vulnerável é customer email.

Recomendações Atualize o plugin LatePoint para uma versão posterior à 5.1.94.