CVE-2025-10750

Nome do Software Vulnerável e Versões Afetadas Plugin PowerBI Embed Reports para WordPress versões anteriores à 1.2.1

Descrição O plugin PowerBI Embed Reports para WordPress está suscetível à divulgação não autorizada de informações sensíveis. Isso resulta de verificações de capacidades e autenticação inadequadas no endpoint da API testUser. Os atacantes não precisam estar autenticados para acessar informações sensíveis de usuários do Azure AD, incluindo informações pessoalmente identificáveis (PII) como displayName, mail, phones e department. Além disso, dados detalhados de erro do OAuth, incluindo IDs de Aplicação/Cliente do Azure AD, códigos de erro, trace IDs e correlation IDs, podem ser acessados. A questão está relacionada à função mo epbr admin observer() vinculada à ação 'init'.

Recomendações Atualize o plugin PowerBI Embed Reports para a versão 1.2.1 ou posterior.