PT-2025-40464 · WordPress · Spirit Framework
Tonn
·
Publicado
2025-10-03
·
Atualizado
2025-11-09
·
CVE-2025-6388
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Plugin Spirit Framework para WordPress versões até a 1.2.14
Descrição
O plugin Spirit Framework para WordPress está susceptível a um bypass de autenticação. Isso ocorre porque a função
custom actions() não valida adequadamente a identidade do usuário antes de conceder acesso. Isso permite que atacantes não autenticados façam login como qualquer usuário, incluindo administradores, caso conheçam o nome de usuário. Relatos indicam que este problema está sendo ativamente explorado.Recomendações
Versões anteriores à 1.2.15 são afetadas.
Atualize para a versão 1.2.15 ou posterior.
Como medida temporária, desative o plugin Spirit Framework até que uma correção possa ser aplicada.
Correção
LPE
Authentication Bypass Using an Alternate Path or Channel
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Spirit Framework