CVE-2025-11895

Nome do Software Vulnerável e Versões Afetadas Plugin Binary MLM Plan para WordPress, versões até e incluindo a 3.0

Descrição O plugin Binary MLM Plan para WordPress apresenta uma vulnerabilidade na qual um atacante pode visualizar os resumos de pagamentos de outros membros. Isso ocorre porque a função bmp user payout detail of current user() seleciona registros de pagamento utilizando o parâmetro payout-id sem verificar se o usuário atual possui permissão para visualizar tal registro. Um atacante autenticado com a função bmp user pode fazer solicitações diretas ao endpoint da API /bmp-account-detail/ com um parâmetro payout-id manipulado para acessar informações de pagamento que não possui autorização para visualizar.

Recomendações Atualize para uma versão do plugin Binary MLM Plan para WordPress posterior à 3.0.