CVE-2025-34077

Nome do Software Vulnerável e Versões Afetadas: Versões do plugin WordPress Pie Register ≤ 3.7.1.4

Descrição: Existe uma vulnerabilidade de bypass de autenticação que permite que atacantes não autenticados se passem por usuários arbitrários ao enviar uma requisição POST manipulada para o "endpoint de login". Ao definir social site = true e manipular o parâmetro user id social site, um atacante pode gerar um cookie de sessão do WordPress válido para qualquer ID de usuário, incluindo administradores. Uma vez autenticado, o atacante pode explorar a funcionalidade de upload de plugins para instalar um plugin malicioso contendo código PHP arbitrário, resultando em execução remota de código no servidor subjacente.

Recomendações: Para versões do plugin WordPress Pie Register ≤ 3.7.1.4, atualize para uma versão superior a 3.7.1.4 para resolver o problema. Como solução temporária, considere desativar a funcionalidade de upload de plugins para minimizar o risco de exploração. Restrinja o acesso ao endpoint de login para prevenir acesso não autorizado.