CVE-2025-1305

Nome do Software Vulnerável e Versões Afetadas Tema NewsBlogger para WordPress versões até e incluindo a 0.2.5.4

Descrição O tema NewsBlogger para WordPress está vulnerável a Cross-Site Request Forgery (CSRF) devido à validação de nonce ausente ou incorreta na função newsblogger install and activate plugin(). Isso possibilita que atacantes não autenticados façam upload de arquivos arbitrários e obtenham execução remota de código via uma solicitação forjada, desde que consigam induzir um administrador do site a realizar uma ação, como clicar em um link.

Recomendações Para o tema NewsBlogger para WordPress versões até e incluindo a 0.2.5.4, considere desativar a função newsblogger install and activate plugin() até que um patch esteja disponível para prevenir a exploração. Adicionalmente, restrinja o acesso a qualquer funcionalidade que dependa desta função para minimizar o risco de execução remota de código.