CVE-2025-1657

Nome do Software Vulnerável e Versões Afetadas: Plugin uListing para WordPress, versões até a 2.1.7 inclusive

Descrição: O problema está relacionado à ausência de verificação de permissão na ação AJAX stm listing ajax, permitindo que atacantes autenticados com acesso de nível de assinante ou superior atualizem metadados de posts e injetem Objetos PHP que podem ser desserializados. Isso lhes permite modificar dados e potencialmente executar código malicioso.

Recomendações: Para versões até a 2.1.7 inclusive, atualize para uma versão superior a 2.1.7 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à ação AJAX stm listing ajax para prevenir modificação não autorizada de dados e Injeção de Objetos PHP. Além disso, restrinja o acesso de nível de assinante para minimizar o risco de exploração.