CVE-2025-10874

Nome do Software Vulnerável e Versões Afetadas O plugin WordPress The Orbit Fox: Duplicate Page, Menu Icons, SVG Support, Cookie Notice, Custom Fonts & More versões anteriores à 3.0.2

Descrição O plugin não restringe adequadamente as URLs usadas no recurso de importação de fotos stock, permitindo que um usuário especifique URLs arbitrárias. Isso pode levar a uma falsificação de solicitação do lado do servidor (SSRF), permitindo que um invasor force o servidor a acessar qualquer URL que escolher. Um truncamento de byte nulo contorna a validação, potencialmente expondo metadados e credenciais da AWS.

Recomendações Atualize o plugin WordPress The Orbit Fox: Duplicate Page, Menu Icons, SVG Support, Cookie Notice, Custom Fonts & More para a versão 3.0.2 ou posterior.