CVE-2025-12512

Nome do Software Vulnerável e Versões Afetadas Plugin GenerateBlocks para WordPress versões até 2.1.2

Descrição O plugin GenerateBlocks para WordPress apresenta um problema de exposição de informações devido a verificações de autorização em nível de objeto inadequadas. O plugin registra rotas da API REST em generateblocks/v1/meta/ que utilizam current user can('edit posts') para controle de acesso, o que é acessível a funções de baixo privilégio, como Contribuidor. Esses manipuladores aceitam IDs de entidade e chaves meta arbitrárias, retornando os metadados solicitados com proteção limitada para chaves semelhantes a senhas. A falta de autorização em nível de objeto permite que invasores recuperem informações pessoalmente identificáveis (PII) e dados sensíveis de outros usuários, incluindo contas de administrador, consultando chaves de metadados de usuário por meio da função get user meta rest. Isso poderia possibilitar phishing direcionado, tomada de conta e violações de privacidade, particularmente em ambientes WordPress e WooCommerce, onde os metadados de usuário armazenam nomes, endereços de e-mail, números de telefone e endereços.

Recomendações Versões até a 2.1.2 (inclusive) são afetadas. Atualize para uma versão mais recente para corrigir esta vulnerabilidade.