PT-2025-34523 · WordPress · Case Theme User
Friderika Baranyai
·
Publicado
2025-08-23
·
Atualizado
2025-10-22
·
CVE-2025-5821
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Plugin Case Theme User para WordPress versões anteriores a 1.0.4
Descrição
O plugin Case Theme User para WordPress é suscetível a um bypass de autenticação. Esta questão decorre da falha do plugin em realizar corretamente o login de um usuário com dados previamente verificados através da função
facebook ajax login callback(). Isso permite que atacantes não autenticados façam login como usuários administradores se possuírem uma conta existente no site e tiverem acesso ao endereço de e-mail do usuário administrador. Esta vulnerabilidade está sendo ativamente explorada na natureza, com mais de 1.700 sites vulneráveis identificados. Aproximadamente 27.000 sites vulneráveis foram encontrados no último ano.Recomendações
Atualize para a versão 1.0.4 ou posterior.
Correção
Authentication Bypass Using an Alternate Path or Channel
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Case Theme User