PT-2025-3864 · WordPress · The Royal Elementor Addons/Templates
Matthew Rollings
+1
·
Publicado
2025-01-14
·
Atualizado
2025-03-03
·
CVE-2025-0393
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
Plugin Royal Elementor Addons and Templates para WordPress, versões até e incluindo a 1.7.1006
Descrição
O problema ocorre devido à validação de nonce ausente ou incorreta na função
wpr filter grid posts(), o que permite que atacantes não autenticados injetem scripts web maliciosos por meio de uma requisição forjada. Isso pode acontecer se os atacantes conseguirem enganar um administrador do site para realizar uma ação, como clicar em um link.Recomendações
Para versões até e incluindo a 1.7.1006, atualize para uma versão que inclua a correção para o problema de validação de nonce na função
wpr filter grid posts().
Como solução temporária, considere restringir o acesso à função wpr filter grid posts() até que um patch esteja disponível.Correção
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
The Royal Elementor Addons/Templates