CVE-2025-3844

CRÍTIC (9,8)

CVSS3: 0,0

El connector PeproDev Ultimate Profile Solutions per a WordPress és vulnerable a l’omissió d’autenticació a les versions 1.9.1 a 7.5.2. Això es deu al fet que la funció handel_ajax_req() no té les restriccions adequades a la funcionalitat change_user_meta que permet establir un codi OTP i posteriorment iniciar sessió amb aquest codi OTP. Això permet que els atacants no autenticats iniciïn sessió com a altres usuaris del lloc, inclosos els administradors.

Sistemes Afectats

• peprodev PeproDev Ultimate Profile Solutions – 1.9.1

Remediació
No hi ha cap recurs disponible a partir del 7 de maig del 2025.

Referències

• https://www.wordfence.com/threat-intel/vulnerabilities/id/65be9417-7029-4f34-b834-98208a42743b?source=cve
• https://plugins.trac.wordpress.org/browser/peprodev-ups/tags/7.5.2/login/login.php#L1483
• https://plugins.trac.wordpress.org/browser/peprodev-ups/tags/7.5.2/login/login.php#L2836