PT-2025-19835 · WordPress · Ahathat Plugin
Régis Senet
·
Publicado
2025-05-06
·
Atualizado
2025-05-06
·
CVE-2025-4337
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
Plugin AHAthat para WordPress, versões até e incluindo a 1.6
Descrição
O problema está relacionado à Falsificação de Solicitação Entre Sites (CSRF), causado por validação de nonce ausente ou incorreta na função
aha plugin page(). Isso permite que atacantes não autenticados excluam páginas AHA ao induzir um administrador do site a realizar uma ação, como clicar em um link.Recomendações
Para versões até e incluindo a 1.6, considere desabilitar a função
aha plugin page() até que um patch esteja disponível para prevenir a exploração.
Como solução temporária, restrinja o acesso às páginas AHA para minimizar o risco de exclusão via solicitações forjadas.Correção
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ahathat Plugin