CVE-2025-10947
MEDIUMSistemas Pleno Gestão de Locação <2025.7.x - Auth Bypass
Title source: llmDescription
A flaw has been found in Sistemas Pleno Gestão de Locação up to 2025.7.x. The impacted element is an unknown function of the file /api/areacliente/pessoa/validarCpf of the component CPF Handler. Executing a manipulation of the argument pes_cpf can lead to authorization bypass. The attack can be executed remotely. The exploit has been published and may be used. Upgrading to version 2025.8.0 is sufficient to resolve this issue. It is advisable to upgrade the affected component.
References (5)
Core 5
Core References
Permissions Required, VDB Entry vdb-entry
technical-description
https://vuldb.com/?id.325817
Permissions Required, VDB Entry signature
permissions-required
https://vuldb.com/?ctiid.325817
Permissions Required, VDB Entry third-party-advisory
https://vuldb.com/?submit.652282
Various Sources related
https://github.com/lfparizzi/CVE-Sistemas_Pleno/tree/main
Scores
CVSS v3
5.3
EPSS
0.0004
EPSS Percentile
11.9%
Attack Vector
NETWORK
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
CISA SSVC
Vulnrichment
Exploitation
poc
Automatable
yes
Technical Impact
partial
Details
CWE
CWE-285
CWE-639
Status
published
Products (9)
Sistemas Pleno/Gestão de Locação
2025.0
Sistemas Pleno/Gestão de Locação
2025.1
Sistemas Pleno/Gestão de Locação
2025.2
Sistemas Pleno/Gestão de Locação
2025.3
Sistemas Pleno/Gestão de Locação
2025.4
Sistemas Pleno/Gestão de Locação
2025.5
Sistemas Pleno/Gestão de Locação
2025.6
Sistemas Pleno/Gestão de Locação
2025.7
Sistemas Pleno/Gestão de Locação
2025.8.0
Published
Sep 25, 2025
Tracked Since
Feb 18, 2026