CVE-2025-2111

Nome do Software Vulnerável e Versões Afetadas Plugin Insert Headers And Footers para WordPress, versões até a 3.1.1, inclusive

Descrição O problema deve-se à validação de nonce ausente ou incorreta na função custom plugin set option, possibilitando que atacantes não autenticados atualizem opções arbitrárias no site WordPress por meio de uma requisição forjada. Isso pode ser aproveitado para alterar a função padrão de registro para administrador e habilitar o registro de usuários, permitindo que atacantes obtenham acesso de usuário administrador a um site vulnerável. A constante WPBRIGADE SDK DEV MODE deve estar definida como true para explorar o problema.

Recomendações Para versões até a 3.1.1, inclusive, atualize para uma versão que inclua a correção para a validação de nonce ausente ou incorreta na função custom plugin set option. Como solução temporária, considere desabilitar a função custom plugin set option até que uma correção esteja disponível. Restrinja o acesso às configurações do plugin para minimizar o risco de exploração. Evite usar o plugin até que o problema seja resolvido.