CVE-2025-7052

Nome do Software Vulnerável e Versões Afetadas Plugin LatePoint para WordPress versões até a 5.1.94

Descrição O software está suscetível a Cross-Site Request Forgery devido à ausência de validação de nonce. Isso ocorre na função change password() dentro da rota AJAX customer cabinet change password. O plugin utiliza os hooks wp ajax e wp ajax nopriv para este endpoint sem verificar um nonce ou capabilidade do usuário antes de permitir redefinições de senha. Isso permite que atacantes não autenticados potencialmente assumam o controle de contas ao induzir clientes logados, ou administradores com "WP users as customers" ativado, a visitar um link malicioso.

Recomendações Atualize o plugin LatePoint para uma versão superior à 5.1.94.