PT-2025-38306 · WordPress · Wordpress+1
Wesley
·
Publicado
2025-09-18
·
Atualizado
2025-09-19
·
CVE-2025-8565
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Plugin WP Legal Pages para WordPress, versões até e incluindo a 3.4.3
Descrição
O plugin WP Legal Pages para WordPress está vulnerável a acesso não autorizado à funcionalidade devido à falta de uma verificação de permissão na função
wplp gdpr install plugin ajax handler(). Isso permite que atacantes autenticados com acesso de nível de Contribuidor ou superior instalem plugins arbitrários do repositório.Recomendações
Atualize o plugin WP Legal Pages para uma versão superior à 3.4.3.
Como medida temporária, restrinja o acesso para usuários com nível de acesso de Contribuidor e acima.
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wplegalpages
Wordpress