CVE-2025-13606

Nome do Software Vulnerável e Versões Afetadas Plugin Export All Posts, Products, Orders, Refunds & Users para WordPress versões anteriores à 2.20

Descrição O plugin Export All Posts, Products, Orders, Refunds & Users para WordPress está suscetível a Falsificação de Solicitação entre Sites (CSRF). Isso ocorre devido à validação de nonce inadequada ou ausente dentro da função parseData. A exploração bem-sucedida permite que atacantes não autenticados exportem informações sensíveis, incluindo dados de usuários, endereços de e-mail, hashes de senha e dados do WooCommerce. O atacante pode especificar um caminho de arquivo controlado pelo atacante no servidor para os dados exportados, exigindo que um administrador do site execute uma ação, como clicar em um link malicioso, para concluir o ataque.

Recomendações Atualize o plugin Export All Posts, Products, Orders, Refunds & Users para a versão 2.20 ou posterior.