CVE-2025-1687

Nome do Software Vulnerável e Versões Afetadas Tema Cardealer para WordPress versões até a 1.6.4 inclusive

Descrição O problema está relacionado a Cross-Site Request Forgery devido à ausência de validação de nonce na função update user profile. Isso permite que atacantes não autenticados atualizem o e-mail e a senha de um usuário por meio de uma requisição forjada, caso consigam enganar um administrador do site para que execute uma ação específica, como clicar em um link.

Recomendações Para versões até a 1.6.4 inclusive, considere desativar a função update user profile até que um patch esteja disponível para prevenir a exploração. Restrinja o acesso a áreas do site onde perfis de usuário podem ser atualizados para minimizar o risco de exploração. Evite usar o tema Cardealer até que uma versão corrigida seja lançada. Atualmente, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.