CVE-2025-4857

Nome do Software Vulnerável e Versões Afetadas O plugin The Newsletters para WordPress, versões até e incluindo a 4.9.9.9.

Descrição A falha permite que atacantes autenticados com acesso de nível de Administrador ou superior incluam e executem arquivos arbitrários no servidor através do parâmetro file, permitindo-lhes contornar controles de acesso, obter dados sensíveis ou realizar execução de código. Isso é particularmente preocupante em casos onde imagens e outros tipos de arquivos "seguros" podem ser enviados e incluídos.

Recomendações Para o plugin The Newsletters para WordPress, versões até e incluindo a 4.9.9.9, considere desativar o parâmetro file para prevenir a exploração até que um patch esteja disponível. Restrinja o acesso a arquivos e diretórios sensíveis para minimizar o risco de inclusão arbitrária de arquivos. Evite usar o parâmetro file em endpoints de API afetados até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.