PT-2025-27847 · WordPress · Ai Engine
István Márton
·
Publicado
2025-07-04
·
Atualizado
2025-08-13
·
CVE-2025-6238
CVSS v3.1
8.0
Alta
| Vetor | AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas:
Plugin AI Engine para WordPress versão 2.8.4
Descrição:
A falha decorre de uma implementação insegura do OAuth, especificamente pela falta de validação do parâmetro
redirect uri durante o fluxo de autorização. Isso permite que atacantes não autenticados interceptem o código de autorização e obtenham um token de acesso ao redirecionar o usuário para um URI controlado pelo atacante.Recomendações:
Para a versão 2.8.4, atualize para a versão 2.8.5, na qual o OAuth está desativado e a classe 'Meow MWAI Labs OAuth' não é carregada, mitigando assim a vulnerabilidade de redirecionamento aberto.
Correção
Open Redirect
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ai Engine