PT-2025-50885 · WordPress · Construction Light
Khaled Alenazi
·
Publicado
2025-12-12
·
Atualizado
2026-01-09
·
CVE-2025-10684
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
Versões do tema Construction Light para WordPress anteriores à 1.6.8
Descrição
O tema Construction Light para WordPress não possui autorização adequada e proteção contra Falsificação de Solicitação entre Sites (CSRF) quando ativado por meio de uma ação AJAX. Isso permite que qualquer usuário autenticado, mesmo aqueles com privilégios limitados, como um assinante, ative funcionalidades arbitrárias. A ação vulnerável envolve uma requisição AJAX que não verifica as permissões do usuário nem inclui tokens CSRF, permitindo a ativação não autorizada de recursos.
Recomendações
Atualize o tema Construction Light para WordPress para a versão 1.6.8 ou posterior.
Exploit
Correção
Improper Authentication
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Construction Light