CVE-2025-13390

Nome do Software Vulnerável e Versões Afetadas Versões do WP Directory Kit anteriores à 1.4.5

Descrição O plugin WP Directory Kit para WordPress possui uma falha em seu processo de autenticação. Especificamente, versões até e incluindo a 1.4.4 são suscetíveis a bypass de autenticação devido a um mecanismo fraco de geração de tokens dentro da função wdk generate auto login link. Isso permite que atacantes não autenticados obtenham acesso administrativo e potencialmente assumam o controle total de um site, explorando o endpoint de auto-login com um token previsível.

Recomendações Atualize o WP Directory Kit para a versão 1.4.5 ou posterior. Como solução alternativa temporária, considere desativar o recurso de auto-login se ele não for essencial. Restrinja o acesso ao endpoint de auto-login.