David Dewes

#12953de 53,639
20.6CVSS total
Vulnerabilidades · 3
Média
1
Alta
2
PT-2025-35705
4.3
2025-09-03
WordPress · Post Smtp · CVE-2025-9219
**Nome do Software Vulnerável e Versões Afetadas** Plugin Post SMTP – WP SMTP versões até e incluindo a 3.4.1 **Descrição** O plugin Post SMTP – WP SMTP para WordPress é suscetível à modificação não autorizada de dados devido à falta de uma verificação de capacidade dentro da função `update post smtp pro option callback`. Atacantes autenticados que possuem acesso de nível de Assinante ou superior podem habilitar extensões Pro. **Recomendações** Atualize o plugin Post SMTP – WP SMTP para uma versão superior à 3.4.1.
PT-2025-30738
7.5
2025-07-25
WordPress · Frontend File Manager Plugin · CVE-2023-7306
**Nome do Software Vulnerável e Versões Afetadas** Plugin Frontend File Manager para WordPress em versões anteriores à 21.5 **Descrição** O plugin é suscetível à perda de dados não autorizada devido a uma verificação de capacidade ausente dentro da função `wpfm delete multiple files()`. Isso permite que atacantes não autenticados excluam posts arbitrários. **Recomendações** Atualize o plugin Frontend File Manager para uma versão superior à 21.5.
PT-2025-23917
8.8
2025-06-05
WordPress · Hypercomments · CVE-2025-5701
**Nome do Software Vulnerável e Versões Afetadas** Plugin HyperComments para WordPress, versões até e incluindo a 1.2.2 **Descrição** O plugin HyperComments para WordPress é vulnerável à modificação não autorizada de dados, o que pode levar à elevação de privilégios devido à ausência de verificação de capacidade na função `hc request handler`. Isso possibilita que atacantes não autenticados atualizem opções arbitrárias no site WordPress, o que pode ser explorado para alterar a função padrão de registro para administrador e habilitar o registro de usuários, permitindo que atacantes obtenham acesso de usuário administrativo a um site vulnerável. **Recomendações** Para o plugin HyperComments para WordPress, versões até e incluindo a 1.2.2: Atualize para uma versão superior à 1.2.2 para corrigir a ausência de verificação de capacidade na função `hc request handler`. Como solução temporária, considere desabilitar a função `hc request handler` até que um patch esteja disponível. Restrinja o acesso à funcionalidade de atualização de opções do site WordPress para minimizar o risco de exploração.