CVE-2026-30927

Nome do Software Vulnerável e Versões Afetadas Versões do Admidio anteriores a 5.0.6

Descrição O Admidio é uma solução de gerenciamento de usuários. Existe uma vulnerabilidade na lógica de participação em eventos no arquivo modules/events/events function.php. Isso permite que qualquer usuário autorizado a participar de um evento registre ou cancele a participação de outros usuários manipulando o parâmetro GET user uuid. O problema decorre de uma instrução condicional incorreta que utiliza o operador OR (||), permitindo que qualquer usuário especifique um user uuid diferente e opere com o ID do usuário de destino (usr id) em vez do ID do usuário atual. Isso pode levar a registros indesejados, cancelamentos ou manipulação dos dados dos participantes do evento. O código vulnerável opera com $user->getValue('usr id').

Recomendações As versões anteriores a 5.0.6 devem ser atualizadas para a versão 5.0.6 ou posterior. Como solução temporária, para usuários não líderes, forçar o parâmetro user uuid a corresponder ao UUID do usuário atual.