CVE-2025-0807

Nome do Software Vulnerável e Versões Afetadas Plugin CITS Support svg, webp Media and TTF,OTF File Upload, Use Custom Fonts para WordPress, versões até a 4.2, inclusive.

Descrição O problema está relacionado a Cross-Site Request Forgery devido à validação de nonce ausente ou incorreta na função cits settings tab(). Isso permite que atacantes não autenticados atualizem as configurações do plugin por meio de uma requisição forjada, caso consigam induzir um administrador do site a realizar uma ação, como clicar em um link.

Recomendações Para versões até a 4.2, inclusive, considere desativar a função cits settings tab() até que uma correção esteja disponível para prevenir a exploração. Restrinja o acesso às configurações do plugin para minimizar o risco de alterações não autorizadas. Evite usar o plugin até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.