CVE-2025-3923

Nome do Software Vulnerável e Versões Afetadas Versões do plugin Prevent Direct Access – Protect WordPress Files até e incluindo a 2.8.8

Descrição A falha permite que atacantes não autenticados extraiam dados sensíveis, incluindo arquivos protegidos pelo plugin, devido à aleatoriedade insuficiente do nome do arquivo gerado via generate unique string. Isso possibilita que os atacantes determinem o nome do arquivo e acessem arquivos protegidos.

Recomendações Para versões até e incluindo a 2.8.8, considere desativar a função generate unique string até que um patch esteja disponível para evitar nomes de arquivos previsíveis. Restrinja o acesso a arquivos sensíveis protegidos pelo plugin para minimizar o risco de exploração. Evite utilizar o plugin até que uma versão mais recente com aleatoriedade aprimorada para os nomes de arquivos gerados seja lançada.