CVE-2026-41662

Nome do Software Vulnerável e Versões Afetadas Admidio versões anteriores a 5.0.9

Descrição Existe um problema onde a função Role::stopMembership() não verifica se a remoção de um usuário da função de administrador deixa o sistema com zero administradores. Embora a função obsoleta Membership::stopMembership() contenha uma verificação de segurança para evitar isso, o caminho de código atual a ignora. Isso permite que um administrador remova o último administrador restante, bloqueando potencialmente todo o acesso administrativo ao sistema. Isso pode ocorrer por meio de remoções sequenciais, onde dois administradores removem um ao outro, resultando em nenhum usuário restante na função de administrador. A vulnerabilidade está localizada na função Role::stopMembership() em src/Roles/Entity/Role.php e pode ser acionada através do endpoint "/modules/profile/profile function.php" utilizando os parâmetros mode, user uuid e role uuid.

Recomendações Atualize para a versão 5.0.9. Como medida paliativa temporária, restrinja o acesso ao endpoint "/modules/profile/profile function.php" ou limite o número de usuários com privilégios de administrador para minimizar o risco de bloqueio total.