CVE-2025-9191

Nome do Software Vulnerável e Versões Afetadas Versões do Houzez anteriores à 4.1.7

Descrição O tema Houzez para WordPress é suscetível a Injeção de Objeto PHP devido à desserialização de entrada não confiável no arquivo saved-search-item.php. Isso permite que atacantes autenticados com acesso de nível de Assinante (Subscriber) ou superior injetem um Objeto PHP. Atualmente, não existe nenhuma cadeia de Injeção de Objeto PHP (POP) conhecida dentro do próprio software vulnerável. No entanto, se outro plugin ou tema contendo uma cadeia POP estiver instalado no mesmo site, um atacante poderá ser capaz de realizar ações como excluir arquivos arbitrários, recuperar dados sensíveis ou executar código, dependendo da cadeia POP específica presente.

Recomendações Atualize o Houzez para a versão 4.1.7 ou posterior.