PT-2025-42425 · WordPress+1 · Wordpress Classified Pro+1
István Márton
·
Publicado
2025-10-16
·
Atualizado
2025-10-21
·
CVE-2025-10706
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Versões do Classified Pro até e incluindo a 1.0.14
Descrição
O tema Classified Pro para WordPress está suscetível à instalação não autorizada de plugins devido à falta de uma verificação de capacidade na função
cwp addons update plugin cb. Isso permite que atacantes autenticados com acesso de nível de assinante ou superior instalem plugins arbitrários no site WordPress afetado. A instalação de plugins arbitrários pode levar à execução remota de código. O nonce necessário para a exploração é encontrado no plugin CubeWP Framework.Recomendações
Atualize o Classified Pro para uma versão superior à 1.0.14.
Correção
RCE
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cubewp Framework
Wordpress Classified Pro