PT-2025-51861 · WordPress · Ultimate Member
Boris Bogosavac
·
Publicado
2025-12-17
·
Atualizado
2025-12-17
·
CVE-2025-14081
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
O plugin Ultimate Member para WordPress em versões anteriores à 2.11.1
Descrição
O plugin Ultimate Member para WordPress possui uma falha em seu mecanismo de campos seguros. As chaves dos campos são armazenadas na lista de campos permitidos antes da aplicação da verificação
required perm durante a renderização. Isso permite que atacantes autenticados com acesso de nível de Assinante modifiquem suas configurações de privacidade de perfil, como definir a visibilidade do perfil como "Somente eu", por meio da manipulação direta de parâmetros, mesmo que o administrador tenha desativado essa opção para sua função.Recomendações
Atualize o plugin Ultimate Member para a versão 2.11.1 ou superior.
Correção
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ultimate Member