CVE-2025-13540

Nome do Software Vulnerável e Versões Afetadas Versões do Tiare Membership anteriores à 1.3

Descrição O plugin Tiare Membership para WordPress é afetado por um problema de escalonamento de privilégios. Isso ocorre porque a função tiare membership init rest api register não restringe adequadamente as funções de usuário durante o registro. Atacantes não autenticados podem explorar isso fornecendo a função 'administrator' durante o registro, obtendo acesso administrativo ao site. A vulnerabilidade afeta sites que utilizam o plugin Tiare Membership para WordPress. O problema está relacionado ao processamento de solicitações de registro de usuário através da REST API. Especificamente, a função tiare membership init rest api register não valida ou limita o parâmetro de função de usuário fornecido durante o registro. Isso permite que um atacante crie uma solicitação de registro especificando a função 'administrator', contornando efetivamente os mecanismos padrão de autenticação e autorização. A exploração bem-sucedida concede a um atacante não autenticado controle total sobre o site WordPress, incluindo a capacidade de instalar plugins maliciosos, modificar conteúdo, roubar dados sensíveis ou interromper as operações do site.

Recomendações Versões anteriores à 1.3: Desative o plugin Tiare Membership até que a Qode Interactive lance uma correção. Versões anteriores à 1.3: Restrinja o acesso ao endpoint de registro da REST API usando firewalls ou mecanismos de controle de acesso no nível do servidor.