CVE-2025-10380

Nome do Software Vulnerável e Versões Afetadas Plugin Advanced Views – Display Posts, Custom Fields, and More para WordPress versões até e incluindo a 3.7.19

Descrição O plugin Advanced Views – Display Posts, Custom Fields, and More para WordPress está suscetível a Injeção de Template no Lado do Servidor (Server-Side Template Injection). Isso é causado por sanitização de entrada inadequada e falta de controle de acesso ao processar templates Twig personalizados no painel Model. Atacantes autenticados com acesso de nível de autor ou superior podem potencialmente executar código PHP arbitrário e comandos no servidor. A vulnerabilidade reside na forma como o plugin lida com templates Twig personalizados, permitindo a execução de código através de validação de entrada insuficiente.

Recomendações Atualize o plugin Advanced Views – Display Posts, Custom Fields, and More para uma versão superior à 3.7.19.