PT-2025-42230 · WordPress · Quick Featured Images
Lucas Montes
·
Publicado
2025-10-15
·
Atualizado
2025-10-15
·
CVE-2025-11176
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
Plugin Quick Featured Images para WordPress em versões anteriores à 13.7.3
Descrição
O plugin Quick Featured Images para WordPress está suscetível a uma vulnerabilidade de Referência Insegura Direta a Objetos nas versões até e incluindo a 13.7.2. Esta falha está presente nas ações AJAX
qfi set thumbnail e qfi delete thumbnail devido à falta de validação em uma chave controlada pelo usuário. Atacantes autenticados com acesso de nível de Autor ou superior podem explorar isso para modificar ou remover imagens de destaque de posts pertencentes a outros usuários. A chave vulnerável permite acesso direto a objetos sem as devidas verificações de autorização.Recomendações
Atualize o plugin Quick Featured Images para a versão 13.7.3 ou posterior.
Correção
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Quick Featured Images