CVE-2025-14159

Nome do Software Vulnerável e Versões Afetadas Plugin Secure Copy Content Protection and Content Locking para WordPress versões até a 4.9.2

Descrição O plugin está suscetível a Falsificação de Solicitação Entre Sites (CSRF) devido à ausência de validação de nonce na ação AJAX ays sccp results export file. Isso permite que atacantes não autenticados exportem dados sensíveis do plugin, incluindo endereços de e-mail, endereços IP, endereços físicos, IDs de usuário e outras informações do usuário, ao enganar um administrador do site para realizar uma ação. Os dados exportados são armazenados em um arquivo acessível publicamente, permitindo que os atacantes obtenham as informações sensíveis sem autenticação.

Recomendações Versões anteriores e incluindo a 4.9.2 devem ser atualizadas para uma versão mais recente e corrigida, quando disponível. Como solução temporária, considere desativar a ação AJAX ays sccp results export file até que uma correção esteja disponível.