CVE-2025-7846

Nome do Software Vulnerável e Versões Afetadas WordPress User Extra Fields versões até a 16.7 (inclusive)

Descrição O plugin WordPress User Extra Fields está suscetível à exclusão arbitrária de arquivos. Isso se deve à validação inadequada do caminho do arquivo dentro da função save fields(). Atacantes autenticados com acesso de nível de Assinante ou superior podem explorar essa vulnerabilidade para excluir arquivos arbitrários no servidor. A exclusão de arquivos críticos, como wp-config.php, pode levar à execução remota de código.

Recomendações As versões até a 16.7 (inclusive) devem ser atualizadas para uma versão mais recente e corrigida, quando disponível. Como medida temporária, considere restringir o acesso à função save fields() até que uma correção esteja disponível.