PT-2025-49235 · WordPress · User Generator/Importer

Ivan Cese

Publicado

2025-12-05

Atualizado

2025-12-10

CVE-2025-12879

CVSS v3.1

8.8

Alta

Vetor

AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Nome do Software Vulnerável e Versões Afetadas Plugin User Generator and Importer para WordPress, versões até e incluindo a 1.2.2

Descrição O plugin é vulnerável a Falsificação de Solicitação Entre Sites (CSRF) devido à ausência de validação de nonce na função "Import Using CSV File". Isso permite que atacantes não autenticados potencialmente criem contas arbitrárias com privilégios de administrador forjando uma requisição, caso consigam induzir um administrador do site a realizar uma ação. A função Import Using CSV File carece de validação adequada, possibilitando este problema.

Recomendações Atualize o plugin User Generator and Importer para uma versão superior à 1.2.2.

Correção

LPE

CSRF

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-352

Identificadores relacionados

CVE-2025-12879

Produtos afetados

User Generator/Importer

PT-2025-49235 · WordPress · User Generator/Importer

CVE-2025-12879

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 9