CVE-2025-12361

Nome do Software Vulnerável e Versões Afetadas myCred – Sistema de Gerenciamento de Pontos para Gamificação, Classificações, Distintivos e Programa de Fidelidade, versões até e incluindo a 2.9.7.1

Descrição O software não verifica adequadamente a autorização do usuário, permitindo que invasores autenticados com acesso de nível de Assinante ou superior recuperem informações sensíveis dos usuários. Especificamente, os invasores podem acessar IDs de usuário, nomes de exibição e endereços de e-mail de todos os usuários no site através do endpoint da API get bank accounts. As senhas não são expostas.

Recomendações As versões anteriores à 2.9.7.1 devem ser atualizadas.