CVE-2025-10742

Nome do Software Vulnerável e Versões Afetadas Plugin Truelysell Core para WordPress versões até e incluindo a 1.8.6

Descrição O plugin Truelysell Core para WordPress está suscetível à modificação não autorizada de senhas de usuários. Isso ocorre porque o plugin permite acesso a objetos controlado pelo usuário, permitindo que atacantes contornem a autorização e acessem recursos do sistema. Atacantes não autenticados podem explorar isso para alterar senhas de usuários, potencialmente assumindo o controle de contas de administrador. A exploração requer conhecimento de uma página contendo o shortcode 'truelysell edit staff'.

Recomendações Versões anteriores à 1.8.6 são afetadas. Atualize para uma versão superior à 1.8.6. Limite o acesso à página contendo o shortcode 'truelysell edit staff'. Habilite a autenticação multifator. Monitore a atividade do sistema em busca de comportamento suspeito.