CVE-2025-2101

Nome do Software Vulnerável e Versões Afetadas Tema Edumall para WordPress, versões até e incluindo a 4.2.4

Descrição A falha permite que atacantes não autenticados incluam e executem arquivos PHP arbitrários no servidor por meio do parâmetro template da ação AJAX 'edumall lazy load template'. Isso pode ser usado para contornar controles de acesso, obter dados sensíveis ou alcançar execução de código nos casos em que arquivos PHP podem ser carregados e incluídos.

Recomendações Para o tema Edumall para WordPress, versões até e incluindo a 4.2.4, considere desabilitar a ação AJAX 'edumall lazy load template' até que um patch esteja disponível. Restrinja o acesso ao parâmetro template para minimizar o risco de exploração. Evite usar o parâmetro template na ação AJAX afetada até que o problema seja resolvido.